Souhlas s podmínkami GDPR
ISSN 1977-0626 | ||
Úřední věstník Evropské unie | L 119 | |
České vydání | Právní předpisy | Svazek 59 |
| |
| (1) Text s významem pro EHP |
CS | Akty, jejichž název není vyti_těn tučně, se vztahují ke každodennímu řízení záležitostí v zemědělství a obecně platí po omezenou dobu. Názvy všech ostatních aktů jsou vytištěny tučně a předchází jim hvězdička. |
I Legislativní akty
NAŘÍZENÍ
4.5.2016 | CS | Úřední věstník Evropské unie | L 119/1 |
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
(Text s významem pro EHP)
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 16 této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),
s ohledem na stanovisko Výboru regionů (2),
v souladu s řádným legislativním postupem (3),
vzhledem k těmto důvodům:
(1) | Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají. |
(2) | Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem tohoto nařízení je přispět k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, k posílení a sblížení ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám fyzických osob. |
(3) | Účelem směrnice Evropského parlamentu a Rady 95/46/ES (4) je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti s činnostmi zpracování a zajistit volný pohyb osobních údajů mezi členskými státy. |
(4) | Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou, jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života, obydlí a komunikace, ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost. |
(5) | Hospodářská a sociální integrace vyplývající z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničních toků osobních údajů. V celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků. Právo Unie zavazuje vnitrostátní orgány členských států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti nebo provádět úkoly jménem orgánu jiného členského státu. |
(6) | Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život a měly by dále usnadňovat volný pohyb osobních údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů. |
(7) | Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu. Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje. Měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci. |
(8) | Stanoví-li toto nařízení upřesnění nebo omezení svých pravidel právem členského státu, mohou členské státy začlenit do svého vnitrostátního práva prvky tohoto nařízení, pokud je to nezbytné pro účely soudržnosti a pro učinění vnitrostátních předpisů srozumitelnými pro osoby, na něž se vztahují. |
(9) | Ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránilo to roztříštěnosti v provádění ochrany údajů v celé Unii, právní nejistotě ani rozšířenému pocitu veřejnosti, že v souvislosti s ochranou fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online. Rozdíly v úrovni ochrany práv a svobod fyzických osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie. Tyto rozdíly proto mohou být překážkou pro výkon hospodářských činností na úrovni Unie, mohou narušovat hospodářskou soutěž a bránit orgánům veřejné moci ve výkonu povinností, které jim ukládají právní předpisy Unie. Tato rozdílná úroveň ochrany je způsobena rozdíly v provádění a uplatňování směrnice 95/46/ES. |
(10) | S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení. Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení. Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů („citlivé osobní údaje“). V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné. |
(11) | Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech. |
(12) | Ustanovení čl. 16 odst. 2 Smlouvy o fungování EU zmocňuje Evropský parlament a Radu ke stanovení pravidel o ochraně fyzických osob při zpracování osobních údajů a pravidel o volném pohybu těchto údajů. |
(13) | Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států. Řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Unii nebyl z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje toto nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Kromě toho jsou orgány a instituce Unie, členské státy a jejich dozorové úřady podporovány v tom, aby specifické potřeby mikropodniků a malých a středních podniků zohledňovaly při uplatňování tohoto nařízení. Pojem mikropodniky a malé a střední podniky by měl vycházet z článku 2 přílohy doporučení Komise 2003/361/ES (5). |
(14) | Ochrana poskytovaná tímto nařízením by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby. |
(15) | S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly. |
(16) | Toto nařízení se nevztahuje na otázky ochrany základních práv a svobod nebo volného pohybu osobních údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie, jako jsou činnosti týkající se národní bezpečnosti. Toto nařízení se rovněž nevztahuje na zpracování osobních údajů členskými státy při výkonu činností v rámci společné zahraniční a bezpečnostní politiky Unie. |
(17) | Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (6) se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným tímto nařízením a uplatňovány s ohledem na toto nařízení. S cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie by po přijetí tohoto nařízení měly následovat nezbytné úpravy nařízení (ES) č. 45/2001, aby bylo možné jej uplatňovat zároveň s tímto nařízením. |
(18) | Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů. |
(19) | Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie. Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely. Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 (7). Členské státy mohou pověřit příslušné orgány ve smyslu směrnice (EU) 2016/680 i úkoly, které nemusí být nutně prováděny za účelem předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do působnosti práva Unie, spadalo do oblasti působnosti tohoto nařízení. Pokud jde o zpracování osobních údajů těmito příslušnými orgány pro účely spadající do oblasti působnosti tohoto nařízení, měly by mít členské státy možnost ponechat v platnosti nebo zavést konkrétnější ustanovení, aby používání pravidel tohoto nařízení přizpůsobily. Tato ustanovení mohou přesněji určit konkrétní požadavky na zpracování osobních údajů těmito příslušnými orgány pro uvedené jiné účely, s přihlédnutím k ústavní, organizační a správní struktuře daného členského státu. Pokud zpracování osobních údajů soukromými subjekty spadá do oblasti působnosti tohoto nařízení, mělo by toto nařízení členským státům umožnit, aby za určitých podmínek zákonem omezily některé povinnosti a práva, jestliže takové omezení představuje nezbytné a přiměřené opatření v demokratické společnosti na ochranu konkrétních důležitých zájmů, včetně veřejné bezpečnosti a předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je relevantní například v rámci boje proti praní peněz nebo činností forenzních laboratoří. |
(20) | Toto nařízení se mimo jiné vztahuje na činnost soudů a dalších justičních orgánů, a proto by právo Unie nebo členského státu mohlo stanovit operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány. Pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování. Dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu, které by zejména měly zajistit soulad s pravidly tohoto nařízení, posilovat povědomí členů justičních orgánů o jejich povinnostech podle tohoto nařízení a zabývat se stížnostmi souvisejícími s takovými operacemi zpracování. |
(21) | Tímto nařízením není dotčeno uplatňování směrnice Evropského parlamentu a Rady 2000/31/ES (8), zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice. Cílem uvedené směrnice je přispět k řádnému fungování vnitřního trhu tím, že zajistí volný pohyb služeb informační společnosti mezi členskými státy. |
(22) | Jakékoliv zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem. |
(23) | Aby bylo zajištěno, že fyzickým osobám nebude odepřena ochrana, na niž mají podle tohoto nařízení nárok, mělo by se na zpracování osobních údajů subjektů údajů nacházejících se v Unii uskutečněné správcem nebo zpracovatelem, jenž není v Unii usazen, vztahovat toto nařízení, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů bez ohledu na to, zda je spojena s platbou. Aby se určilo, zda takový správce nebo zpracovatel nabízí zboží nebo služby subjektům údajů nacházejícím se v Unii, je třeba zjistit, zda je zjevné, že má správce nebo zpracovatel v úmyslu nabízet služby subjektům údajů v jednom nebo více členských státech v Unii. Zatímco pouhá dostupnost internetových stránek správce, zpracovatele nebo zprostředkovatele v Unii, e-mailové adresy nebo jiných kontaktních údajů anebo používání jazyka obecně používaného ve třetí zemi, v níž je správce usazen, nepostačuje ke zjištění tohoto úmyslu, mohly by faktory, jako je používání jazyka nebo měny obecně používaných v jednom nebo více členských státech, spolu s možností objednat zboží a služby v tomto jiném jazyce nebo zmínky o zákaznících či uživatelích nacházejících se v Unii, být zjevným dokladem toho, že správce má v úmyslu nabízet zboží nebo služby subjektům údajů v Unii. |
(24) | Na zpracování osobních údajů subjektů údajů nacházejících se v Unii správcem nebo zpracovatelem, který není v Unii usazen, by se rovněž mělo vztahovat toto nařízení, pokud souvisí s monitorováním chování takových subjektů údajů v rozsahu, v němž k tomuto chování dochází v Unii. Aby se určilo, zda může být činnost zpracování považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného použití technik zpracování osobních údajů, které spočívají v profilování fyzické osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování. |
(25) | Pokud se právo členského státu uplatňuje na základě mezinárodního práva veřejného, mělo by se toto nařízení vztahovat také na správce, který není usazen v Unii, například na diplomatické misi nebo na konzulárním zastoupení členského státu. |
(26) | Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely. |
(27) | Toto nařízení se nevztahuje na osobní údaje zesnulých osob. Členské státy mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob. |
(28) | Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů. |
(29) | S cílem vytvořit pobídky pro uplatňování pseudonymizace při zpracování osobních údajů by opatření pseudonymizace při současném umožnění obecné analýzy měla být možná v rámci téhož správce, pokud tento správce přijal technická a organizační opatření nezbytná k zajištění toho, aby bylo v případě daného zpracování provedeno toto nařízení a aby doplňkové informace pro přiřazení osobních údajů konkrétnímu subjektu údajů byly uchovány samostatně. Správce, který zpracovává osobní údaje, by rovněž měl označit oprávněné osoby v rámci téhož správce. |
(30) | Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci. |
(31) | Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování. |
(32) | Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván. |
(33) | Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel. |
(34) | Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. |
(35) | Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (9), číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro. |
(36) | Hlavní provozovnou správce v Unii by mělo být místo, kde se nachází jeho ústřední správa v Unii, ledaže by rozhodnutí ohledně účelů a prostředků zpracování osobních údajů byla přijímána v jiné provozovně správce v Unii, a v tom případě by za hlavní provozovnu měla být považována tato jiná provozovna. Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií. Jedním z nich by měl být účinný a skutečný výkon řídících činností rozhodujících pro hlavní rozhodnutí ohledně účelů a prostředků zpracování v rámci stálého zařízení. Toto kritérium by nemělo záviset na tom, zda je zpracování osobních údajů prováděno na tomto místě. Existence a používání technických prostředků a technologií pro zpracování osobních údajů ani činnosti zpracování nezakládají samy o sobě hlavní provozovnu, a proto nejsou rozhodujícími kritérii pro její určení. Hlavní provozovna zpracovatele by měla být místem, kde se nachází jeho ústřední správa v Unii, nebo pokud v Unii nemá ústřední správu, pak místem, kde jsou v Unii prováděny hlavní činnosti zpracování. V případech týkajících se správce i zpracovatele by příslušným vedoucím dozorovým úřadem měl i nadále být dozorový úřad členského státu, v němž má správce hlavní provozovnu, avšak dozorový úřad zpracovatele by měl být považován za dotčený dozorový úřad a účastnit se postupu spolupráce stanoveného tímto nařízením. Dozorové úřady členského státu nebo členských států, v nichž má zpracovatel jednu nebo více provozoven, by v žádném případě neměly být považovány za dotčené dozorové úřady, pokud se návrh rozhodnutí týká pouze správce. Pokud zpracování provádí skupina podniků, měly by být za hlavní provozovnu této skupiny považována hlavní provozovna řídícího podniku, s výjimkou případů, kdy účely a způsob zpracování určuje jiný podnik. |
(37) | Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci prosazovat pravidla týkající se ochrany osobních údajů. Podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, by měl být společně s těmito podniky považován za skupinu podniků. |
(38) | Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem. |
(39) | Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití. |
(40) | Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo s ohledem na nějaký jiný legitimní základ stanovený právními předpisy, buď v tomto nařízení, nebo v jiném právním předpise Unie nebo členského státu, jak je uvedeno v tomto nařízení, mimo jiné i s ohledem na nezbytnost dodržení zákonné povinnosti, která se na správce vztahuje, nebo nezbytnost plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy. |
(41) | Odkazy v tomto nařízení na právní základ či legislativní opatření neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Tento právní základ či legislativní opatření by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora Evropské unie (dále jen „Soudní dvůr“) a Evropského soudu pro lidská práva. |
(42) | Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (10) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. |
(43) | S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné. |
(44) | Zpracování by mělo být zákonné, pokud je nezbytné v souvislosti s plněním smlouvy nebo úmyslem smlouvu uzavřít. |
(45) | Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu. Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování. Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující. Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování. Toto právo by dále mohlo upřesnit obecné podmínky nařízení, kterými se řídí zákonnost zpracování osobních údajů, stanovit podrobnosti týkající se určení správce, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje sdělit, účelového omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování. Právo Unie nebo členského státu by rovněž mělo stanovit, zda by správcem plnícím úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být orgán veřejné moci nebo jiná veřejnoprávní právnická osoba, nebo pokud je to odůvodněno veřejným zájmem, včetně oblasti zdraví, jako je veřejné zdraví a sociální ochrana a řízení zdravotnických služeb, fyzická osoba či soukromoprávní právnická osoba, například profesní sdružení. |
(46) | Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof. |
(47) | Oprávněné zájmy správce, včetně správce, jemuž mohou být osobní údaje poskytnuty, nebo třetí strany se mohou stát právním základem zpracování za předpokladu, že nepřevažují zájmy nebo základní práva a svobody subjektu údajů, a to při zohlednění přiměřeného očekávání subjektu údajů na základě jeho vztahu se správcem. Tento oprávněný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby. Existenci oprávněného zájmu je v každém případě třeba pečlivě posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování důvodně neočekává. Jelikož právní základ pro zpracování osobních údajů orgány veřejné moci má upravit zákonodárce právním předpisem, neměl by se tento právní základ vztahovat na zpracování prováděné orgány veřejné moci při plnění jejich úkolů. Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům. Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu. |
(48) | Správci, kteří jsou součástí skupiny podniků nebo instituce přidružené k ústřednímu orgánu, mohou mít oprávněný zájem na předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků či zaměstnanců. Obecné zásady pro předávání osobních údajů v rámci skupiny podniků do podniku nacházejícího se ve třetí zemi zůstávají nedotčeny. |
(49) | Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítě a informací, to jest schopnosti sítě nebo informačního systému odolávat na dané úrovni spolehlivosti, náhodným událostem nebo protiprávnímu či zlovolnému jednání ohrožujícímu dostupnost, pravost, správnost a důvěrnost uložených či předávaných osobních údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů, které provádějí orgány veřejné moci, skupiny pro reakci na počítačové hrozby (CERT), skupiny pro reakci na incidenty v oblasti počítačové bezpečnosti (CSIRT), poskytovatelé elektronických komunikačních sítí a služeb a poskytovatelé bezpečnostních technologií a služeb, představuje oprávněný zájem dotčeného správce údajů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací. |
(50) | Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie nebo členského státu určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování. Právní základ pro zpracování osobních údajů podle práva Unie nebo členského státu může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování. Pokud subjekt údajů udělil souhlas nebo pokud je zpracování na základě práva Unie nebo členského státu, které představuje v rámci demokratické společnosti nezbytné a přiměřené opatření s cílem zajistit zejména důležité cíle obecného veřejného zájmu, měl by správce mít možnost dalšího zpracování osobních údajů bez ohledu na slučitelnost účelů. V každém případě by mělo být zajištěno, že budou uplatňovány zásady stanovené v tomto nařízení, a zejména že bude subjekt údajů o těchto jiných účelech a o svých právech, včetně práva vznést námitku, informován. Oznámení případných trestných činů nebo hrozeb pro veřejnou bezpečnost správcem a předání dotčených osobních údajů příslušnému orgánu v jednotlivých případech nebo v několika případech týkajících se téhož trestného činu nebo hrozeb pro veřejnou bezpečnost by mělo být považováno za oprávněný zájem správce. Avšak takové přenesení oprávněného zájmu správce nebo další zpracování osobních údajů by mělo být zakázáno, jestliže není slučitelné s povinností mlčenlivosti vyplývající ze zákona či se závaznou povinností zachovávat profesní či jiné tajemství. |
(51) | Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod. |
(52) | Je třeba rovněž povolit odchylky od zákazu zpracování zvláštních kategorií osobních údajů, jsou-li stanoveny v právu Unie nebo členského státu a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li toto zpracování ve veřejném zájmu, zejména zpracování osobních údajů v oblasti pracovního práva a práva v oblasti sociální ochrany, včetně důchodů, a pro účely zdravotní bezpečnosti, monitorování a varování, předcházení přenosným chorobám a jiným závažným hrozbám pro zdraví nebo jejich kontroly. Tato odchylka může být učiněna z důvodů zdraví, včetně veřejného zdraví a řízení zdravotnických služeb, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění, nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Odchylka by rovněž měla umožnit zpracování těchto osobních údajů v případech, kdy je to nezbytné pro stanovení, výkon nebo ochranu právních nároků, ať již v soudním řízení, nebo ve správním či mimosoudním řízení. |
(53) | Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů, což zahrnuje zpracování těchto údajů vedoucími pracovníky a ústředními vnitrostátními zdravotnickými orgány pro účely kontroly kvality, správy informací a obecného vnitrostátního a místního dozoru nad systémem zdravotní nebo sociální péče, a zajištění kontinuity zdravotní nebo sociální péče a přeshraniční zdravotní péče nebo zdravotní bezpečnosti, pro účely monitorování a varování nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie nebo členského státu, které musí být ve veřejném zájmu, jakož i pro studie prováděné ve veřejném zájmu v oblasti veřejného zdraví. Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů. Právo Unie nebo členského státu by mělo stanovit zvláštní a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob. Členské státy by měly mít možnost zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. To by však nemělo omezovat volný pohyb osobních údajů v rámci Unie, pokud se tyto podmínky uplatní na přeshraniční zpracování takových údajů. |
(54) | Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (11), totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou zaměstnavatelé nebo pojišťovny a bankovní společnosti, zpracovávaly osobní údaje pro jiné účely. |
(55) | Zpracování osobních údajů orgány veřejné moci za účelem dosažení cílů úředně uznaných náboženských sdružení, které jsou stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z důvodů veřejného zájmu. |
(56) | Pokud v rámci činností spojených s volbami je pro fungování demokratického systému v členském státě nezbytné, aby politické strany shromažďovaly údaje o politických názorech osob, může být zpracování těchto osobních údajů povoleno z důvodu veřejného zájmu za předpokladu, že jsou stanoveny vhodné záruky. |
(57) | Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů. |
(58) | Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek. To platí obzvláště v situacích, kdy zapojení celé řady aktérů a technologická složitost znesnadňují subjektu údajů, aby věděl a porozuměl tomu, zda jsou shromažďovány jeho osobní údaje a kdo a za jakým účelem je shromažďuje, jako je reklama na internetu. Jelikož děti zasluhují zvláštní ochranu, měly by být v případech, kdy je na ně zpracování zaměřeno, všechny informace a sdělení podávány za použití jasných a jednoduchých jazykových prostředků, aby jim děti snadno porozuměly. |
(59) | Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět. |
(60) | Zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné. |
(61) | Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace. |
(62) | Povinnost poskytnout informace však není třeba ukládat v případech, kdy subjekt údajů již uvedené informace má, nebo kdy zaznamenání či zpřístupnění osobních údajů je výslovně stanoveno právními předpisy, nebo kdy poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Poskytnutí informací by mohlo vyžadovat neúměrné úsilí zejména tehdy, je-li zpracování prováděno pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. V tomto ohledu by se mělo přihlédnout k počtu subjektů údajů, ke stáří osobních údajů a k přijatým vhodným zárukám. |
(63) | Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká. |
(64) | Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory. Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti. |
(65) | Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje. Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků. |
(66) | Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů. |
(67) | Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.. |
(68) | Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Nemělo by se uplatňovat v případě, kdy je zpracování založeno na jiném právním důvodu, než je souhlas nebo smlouva. Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému. |
(69) | Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů. |
(70) | Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací. |
(71) | Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie nebo členského státu, které se na správce vztahuje, mimo jiné pro účely monitorování podvodů a daňových úniků a jejich předcházení, jež jsou v souladu s předpisy, normami a doporučeními orgánů Unie nebo vnitrostátních dozorových úřadů, a s cílem zajistit bezpečnost a spolehlivost služby poskytované správcem, nebo pokud je nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem nebo pokud k tomu subjekt údajů dal svůj výslovný souhlas. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte. V zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů a který mimo jiné předchází diskriminačním účinkům vůči fyzickým osobám na základě rasy nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo předchází přijímání opatření, jež mají takové účinky. Automatizované rozhodování a profilování založené na zvláštních kategoriích osobních údajů by mělo být povoleno pouze za určitých podmínek. |
(72) | Na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody zpracování nebo zásady ochrany údajů. Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením (dále jen „sbor“) by měl mít možnost vydat v této souvislosti pokyny. |
(73) | Právo Unie nebo členského státu může uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, práva vznést námitku, rozhodnutí založených na profilování, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a pro předcházení porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, vedení veřejných rejstříků z důvodů obecného veřejného zájmu, dalšího zpracování archivovaných osobních údajů s cílem poskytnout konkrétní informace související s politickým chováním za bývalého totalitního režimu nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů. Tato omezení by měla být v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod. |
(74) | Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. |
(75) | Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů. |
(76) | Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelům zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko. |
(77) | Pokyny pro zavádění vhodných opatření a pro prokázání souladu s požadavky tímto správcem nebo zpracovatelem, zejména pokud jde o zjištění rizika souvisejícího se zpracováním, jeho posouzení z hlediska původu, povahy, pravděpodobnosti a závažnosti, a stanovení osvědčených postupů ke snížení rizika by mohly být stanoveny zejména prostřednictvím schválených kodexů chování, schválených osvědčení, pokynů sboru nebo doporučení pověřence pro ochranu osobních údajů. Sbor může rovněž vydávat pokyny týkající se operací zpracování, u nichž se má za to, že je nepravděpodobné, že by mohly představovat vysoké riziko pro práva a svobody fyzických osob, a stanovit, jaká opatření mohou být v takových případech k řešení podobného rizika postačující. |
(78) | Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Pokud jde o vývoj, koncepci, výběr a používání aplikací, služeb a produktů, které jsou založeny na zpracování osobních údajů nebo osobní údaje za účelem plnění svých funkcí zpracovávají, je třeba zhotovitele těchto produktů, služeb a aplikací vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami. |
(79) | Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů, mimo jiné pokud jde o jejich monitorování a opatření vůči nim přijímaná dozorovými úřady, vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna pro správce. |
(80) | Pokud správce nebo zpracovatel, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které se nacházejí v Unii, a tyto činnosti zpracování souvisejí s nabídkou zboží nebo služeb takovým subjektům údajů v Unii bez ohledu na to, zda je vyžadována platba subjektu údajů, nebo souvisejí s monitorováním jejich chování v rozsahu, v němž k tomuto chování dochází v Unii, měl by daný správce nebo zpracovatel jmenovat svého zástupce, ledaže by dotčené zpracování bylo příležitostné, nezahrnovalo by rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů a bylo by nepravděpodobné, že by s ohledem na svou povahu, souvislosti, rozsah a účely mohlo toto zpracování představovat riziko pro práva a svobody fyzických osob, nebo ledaže by správce byl orgánem veřejné moci nebo veřejným subjektem. Zástupce by měl jednat jménem správce nebo zpracovatele a může se něj obracet kterýkoliv dozorový úřad. Zástupce by měl být výslovně jmenován na základě písemného zmocnění správcem nebo zpracovatelem, aby jednal jejich jménem v souvislosti s povinnostmi správce nebo zpracovatele stanovenými tímto nařízením. Jmenováním tohoto zástupce není dotčena odpovědnost správce nebo zpracovatele podle tohoto nařízení. Zástupce by měl vykonávat své úkoly podle zmocnění uděleného správcem nebo zpracovatelem, mimo jiné by měl spolupracovat s příslušnými dozorovými úřady při jakémkoliv úkonu prováděném s cílem zajistit soulad s tímto nařízením. Vůči jmenovanému zástupci by se v případě neplnění povinností správcem nebo zpracovatelem mělo uplatnit vymáhací řízení. |
(81) | Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem jménem správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na bezpečnost zpracování. Jednou z možností, jak prokázat, že správce plní příslušné povinnosti, je dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení zpracovatelem. Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnosti zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel se mohou rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo dozorový úřad v souladu s mechanismem jednotnosti a poté Komise. Po dokončení zpracování jménem správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje. |
(82) | Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. |
(83) | V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě. |
(84) | S cílem přispět k zajištění souladu s tímto nařízením v případech, kdy je pravděpodobné, že operace zpracování budou představovat vysoké riziko pro práva a svobody fyzických osob, by měl být správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů, aby vyhodnotil zejména původ, povahu, zvláštnost a závažnost tohoto rizika. Výsledek posouzení by měl být zohledněn při rozhodování o vhodných opatřeních, která by měla být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s tímto nařízením. Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, měl by být před zpracováním konzultován dozorový úřad. |
(85) | Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. |
(86) | Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů). Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. |
(87) | Mělo by být zjištěno, zda byla zavedena veškerá vhodná technická a organizační opatření, aby se okamžitě stanovilo, zda došlo k porušení zabezpečení osobních údajů, a aby byly dozorový úřad a subjekt údajů neprodleně informovány. Skutečnost, že oznámení bylo provedeno bez zbytečného odkladu, se stanoví zejména s ohledem na povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekt údajů. Toto oznámení může vést k zásahu dozorového úřadu v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení. |
(88) | Při vytváření podrobných pravidel týkajících se formátu a postupů ohlašování případů porušení zabezpečení osobních údajů by měly být náležitě zohledněny okolnosti porušení, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zpřístupnění mohlo zbytečně ztížit vyšetřování okolností porušení zabezpečení osobních údajů. |
(89) | Směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto by měla být tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Mezi tyto typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu osobních údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování. |
(90) | V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením. |
(91) | To by mělo platit zejména pro rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko, například vzhledem k jejich citlivosti, pokud se v souladu s dosaženou úrovní technických znalostí použije ve velkém rozsahu nová technologie, jakož i pro jiné operace zpracování, které představují vysoké riziko pro práva a svobody subjektů údajů, zejména v případech, kdy s ohledem na tyto operace je pro subjekty údajů obtížnější uplatnit svá práva. Posouzení vlivu na ochranu osobních údajů by mělo být vypracováno i v případech, kdy se osobní údaje zpracovávají za účelem přijetí rozhodnutí o konkrétních fyzických osobách v návaznosti na jakékoliv systematické a rozsáhlé hodnocení osobních aspektů týkajících se fyzických osob na základě profilování těchto údajů nebo v návaznosti na zpracování zvláštních kategorií osobních údajů, biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních. Posouzení vlivu na ochranu osobních údajů je rovněž zapotřebí v případě monitorování veřejně přístupných prostor prováděného ve velkém rozsahu, zejména pokud se k němu používá optických elektronických přístrojů, nebo v případě jakýchkoliv jiných operací, kdy má příslušný dozorový úřad za to, že je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody subjektů údajů, zejména proto, že tyto úkony brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy, nebo proto, že jsou prováděny systematicky a ve velkém rozsahu. Zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky. V takových případech by posouzení vlivu na ochranu osobních údajů nemělo být povinné. |
(92) | Za určitých okolností může být přiměřené a účelné, aby byl předmět posouzení vlivu na ochranu osobních údajů širší a nevztahoval se pouze na jeden projekt, například když orgány veřejné moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo platformu zpracování, nebo když několik správců hodlá zavést společnou aplikaci nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý segment nebo pro široce užívanou horizontální činnost. |
(93) | V souvislosti s přijetím právního předpisu členského státu, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který danou operaci nebo soubor operací zpracování upravuje, mohou členské státy považovat za nutné provést výše uvedené posouzení před činnostmi zpracování. |
(94) | Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat s dozorovým úřadem. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Dozorový úřad by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že dozorový úřad v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah tohoto úřadu prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací může být výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, předložen dozorovému úřadu, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob. |
(95) | Zpracovatel by měl být v případě potřeby a na požádání správci nápomocen při zajišťování dodržování povinností vyplývajících z provádění posouzení vlivu na ochranu osobních údajů a z předchozí konzultace s dozorovým úřadem. |
(96) | V průběhu příprav legislativního nebo regulačního opatření, jímž bude stanoveno zpracování osobních údajů, by měl být rovněž konzultován dozorový úřad, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů. |
(97) | Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. |
(98) | Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob. |
(99) | Při vypracovávání kodexu chování nebo při jeho změně či rozšíření by sdružení a jiné subjekty zastupující různé kategorie správců nebo zpracovatelů měly konzultovat příslušné zúčastněné strany, pokud možno i subjekty údajů, a měly by zohledňovat návrhy a stanoviska vyjádřené v reakci na tyto konzultace. |
(100) | S cílem zvýšit transparentnost a lépe zajistit soulad s tímto nařízením je třeba vybízet k zavedení mechanismů pro vydávání osvědčení, jakož i pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly u příslušných produktů a služeb rychle posoudit úroveň ochrany údajů. |
(101) | Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací. Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů. Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím. |
(102) | Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů, které zahrnují vhodné záruky pro subjekty údajů. Členské státy mohou uzavírat mezinárodní dohody, které zahrnují předání osobních údajů do třetích zemí nebo mezinárodním organizacím, pokud takové dohody nemají vliv na toto nařízení nebo jakákoliv jiná ustanovení práva Unie a obsahují odpovídající úroveň ochrany základních práv subjektů údajů. |
(103) | Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a zajistit tak právní jistotu a jednotný přístup v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení. Komise by měla být schopna rovněž rozhodnout o zrušení takového rozhodnutí, pokud o tom dotčenou třetí zemi nebo mezinárodní organizaci vyrozumí s plným uvedením důvodů. |
(104) | V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana. |
(105) | Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností. Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu. Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat sbor. |
(106) | Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci a fungování rozhodnutí přijatých na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES. Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování. Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý relevantní vývoj v dané třetí zemi nebo mezinárodní organizaci. Pro účely monitorování a provádění pravidelných přezkumů by Komise měla zohlednit názory a zjištění Evropského parlamentu a Rady, jakož i jiné příslušné orgány a zdroje. Komise by měla v přiměřené lhůtě vyhodnotit fungování posledně uvedených rozhodnutí a veškerá relevantní zjištění sdělovat výboru ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 182/2011 (12), jak je stanoven v tomto nařízení, Evropskému parlamentu a Radě. |
(107) | Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky článků tohoto nařízení týkající se předání na základě vhodných záruk, závazných podnikových pravidel a odchylek ve zvláštních situacích. V tomto případě by měly být stanoveny konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace. |
(108) | Nebude-li přijato rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých dozorovým úřadem nebo smluvních doložek jím schválených. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou provést rovněž orgány veřejné moci nebo veřejné subjekty s orgány veřejné moci nebo veřejný subjekty ve třetích zemích nebo s mezinárodními organizacemi s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení příslušného dozorového úřadu by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních. |
(109) | Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo dozorovým úřadem, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo dozorovým úřadem nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů. |
(110) | Skupina podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost by měly mít možnost používat pro mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost schválená závazná podniková pravidla za podmínky, že tato pravidla obsahují veškeré základní zásady a vymahatelná práva v zájmu zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů. |
(111) | Měla by být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů dal svůj výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost převádět údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo členského státu nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů. |
(112) | Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů třetí zemi nebo mezinárodní organizaci. Členské státy by taková ustanovení měly oznámit Komisi. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů. |
(113) | Předání, o nichž lze konstatovat, že nejsou opakovaná a že se týkají pouze omezeného počtu subjektů údajů, by rovněž mohla být uskutečňována pro účely závažných oprávněných zájmů správce, pokud nad těmito zájmy nepřevažují zájmy nebo práva a svobody subjektu údajů a pokud správce posoudil všechny okolnosti daného předání údajů. Správce by měl zvážit zvláště povahu osobních údajů, účel a dobu trvání navrhované operace nebo operací zpracování, jakož i situaci v zemi původu, v dané třetí zemi a v zemi konečného určení, a měl by poskytnout vhodné záruky pro ochranu základních práv a svobod fyzických osob, pokud jde o zpracování jejich osobních údajů. Taková předání by měla být možná pouze v okrajových případech, kdy se nepoužije žádný z ostatních důvodů pro převod. Pro účely vědeckého či historického výzkumu nebo pro statistické účely by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí. Správce by o takovém předání měl informovat dozorový úřad a subjekt údajů. |
(114) | Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk. |
(115) | Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování fyzickými a právnickými osobami spadající do pravomoci členských států. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na platných mezinárodních dohodách, jako je například smlouva o vzájemné právní pomoci, mezi danou třetí zemí a Unií nebo členským státem. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zajištění ochrany fyzických osob zajištěné v Unii tímto nařízením. Předání údajů by mělo být povoleno jen tehdy, jsou-li splněny podmínky předání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie nebo členského státu, které se na správce vztahuje. |
(116) | Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací a provádění šetření ve spolupráci s příslušnými mezinárodními partnery. Pro účely vypracování mechanismů mezinárodní spolupráce s cílem usnadnit a poskytovat vzájemnou mezinárodní pomoc při prosazování právních předpisů na ochranu osobních údajů by si Komise a dozorové úřady měly při činnostech souvisejících s výkonem svých pravomocí vyměňovat informace a spolupracovat s příslušnými orgány ve třetích zemích, na základě vzájemnosti a v souladu s tímto nařízením. |
(117) | je Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání. |
(118) | Nezávislost dozorových úřadů by neměla znamenat, že se na ně nemůže vztahovat mechanismus kontroly nebo monitorování, pokud jde o jejich finanční výdaje, nebo soudní přezkum. |
(119) | Pokud členský stát zřídí více dozorových úřadů, měl by právním předpisem zavést mechanismy, které zajistí jejich účinnou účast v mechanismu jednotnosti. Tento členský stát by měl zejména určit dozorový úřad, který bude fungovat jako jediné kontaktní místo pro účinnou účast těchto úřadů v mechanismu, s cílem zajistit rychlou a plynulou spolupráci s ostatními dozorovými úřady, sborem a Komisí. |
(120) | Každému dozorovému úřadu by měly být poskytnuty finanční a lidské zdroje, prostory a infrastruktura, které potřebuje pro účinné plnění svých úkolů, včetně úkolů souvisejících se vzájemnou pomocí a spoluprací s jinými dozorovými úřady v celé Unii. Každý dozorový úřad by měl mít samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu. |
(121) | Obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právním předpisem, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády nebo člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu. V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí. Dozorový úřad by měl mít vlastní pracovníky, které vybere dozorový úřad nebo nezávislý orgán zřízený podle práva členského státu a kteří by měli podléhat výhradně vedení člena či členů daného dozorového úřadu. |
(122) | Každý dozorový úřad by měl být na území svého vlastního členského státu příslušný k výkonu pravomocí a plnění úkolů, které mu byly svěřeny v souladu s tímto nařízením. To by se mělo týkat zejména zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele na území jejich vlastního členského státu, zpracování osobních údajů prováděného orgány veřejné moci nebo soukromými subjekty jednajícími ve veřejném zájmu, zpracování dotýkajícího se subjektů údajů na jeho území nebo zpracování prováděného správcem či zpracovatelem, který není usazen v Unii, v případě zacílení na subjekty údajů mající bydliště na jeho území. To by dále mělo zahrnovat vyřizování stížností podaných subjekty údajů, provádění šetření ohledně uplatňování tohoto nařízení a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech, pokud jde o zpracování osobních údajů. |
(123) | Dozorové úřady by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Za tímto účelem by dozorové úřady měly spolupracovat mezi sebou a s Komisí, aniž by byla zapotřebí jakákoliv dohoda mezi členskými státy o poskytování vzájemné pomoci nebo o takové spolupráci. |
(124) | Pokud ke zpracování osobních údajů dochází v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii a tento správce nebo zpracovatel je usazen ve více než jednom členském státě, nebo pokud zpracování prováděné v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii se podstatně dotýká či pravděpodobně dotkne subjektů údajů ve více než jednom členském státě, měl by úlohu vedoucího dozorového úřadu plnit dozorový úřad pro hlavní provozovnu správce či zpracovatele nebo pro jedinou provozovnu správce či zpracovatele. Měl by spolupracovat s ostatními dotčenými dozorovými úřady vzhledem k tomu, že správce nebo zpracovatel má na území jejich členského státu provozovnu, že subjekty údajů mající bydliště na jejich území jsou podstatně dotčeny, nebo že u těchto úřadů byla podána stížnost. Rovněž v případě, kdy subjekt údajů nemající bydliště v daném členském státě podal stížnost, měl by být dozorový úřad, u nějž byla taková stížnost podána, rovněž dotčeným dozorovým úřadem. V rámci svých úkolů vydávat pokyny k veškerým otázkám týkajícím se uplatňování tohoto nařízení by měl mít sbor možnost vydávat pokyny, zejména ohledně kritérií, která je třeba zohlednit za účelem zjištění, zda jsou daným zpracováním podstatně dotčeny subjekty údajů ve více než jednom členském státě, a ohledně toho, co se rozumí relevantní a odůvodněnou námitkou. |
(125) | Vedoucí dozorový úřad by měl být příslušný k přijímání závazných rozhodnutí o opatřeních, aby tak uplatnil pravomoci, které svěřuje toto nařízení. Ve své funkci vedoucího dozorového úřadu by měl do rozhodovacího procesu úzce zapojit dotčené dozorové úřady a jejich činnost koordinovat. Pokud se rozhodne o zamítnutí stížnosti subjektu údajů zcela či částečně, měl by toto rozhodnutí přijmout dozorový úřad, u nějž byla stížnost podána. |
(126) | Rozhodnutí by mělo být odsouhlaseno společně vedoucím dozorovým úřadem a dotčenými dozorovými úřady, mělo by být určeno hlavní či jediné provozovně správce nebo zpracovatele a mělo by být pro správce i zpracovatele závazné. Správce nebo zpracovatel by měl přijmout opatření nezbytná k zajištění souladu s tímto nařízením a provádění rozhodnutí oznámeného vedoucím dozorovým úřadem hlavní provozovně správce nebo zpracovatele, pokud jde o zpracování prováděné v Unii. |
(127) | Každý dozorový úřad, který nejedná jako vedoucí dozorový úřad, by měl být příslušný k projednávání místních případů, kdy je správce nebo zpracovatel usazen ve více než jednom členském státě, avšak předmět určitého zpracování se týká pouze zpracování prováděného v jediném členském státě a zahrnuje pouze subjekty údajů v tomto jediném členském státě, například jsou-li předmětem zpracování osobní údaje zaměstnanců v konkrétním zaměstnaneckém kontextu určitého členského státu. V takových případech by měl tento dozorový úřad o této záležitosti neprodleně informovat vedoucí dozorový úřad. Po obdržení těchto informací by měl vedoucí dozorový úřad rozhodnout, zda se bude danou záležitostí zabývat podle ustanovení o spolupráci mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady, či zda se jí má na místní úrovni zabývat dozorový úřad, který vedoucí dozorový úřad informoval. Při rozhodování o tom, zda se bude záležitostí zabývat, by měl vedoucí dozorový úřad zohlednit, zda se v členském státě dozorového úřadu, který jej informoval, nachází provozovna správce nebo zpracovatele, s cílem zajistit účinný výkon rozhodnutí vůči správci nebo zpracovateli. Pokud vedoucí dozorový úřad rozhodne, že se záležitostí zabývat bude, měl by mít dozorový úřad, který jej informoval, možnost předložit návrh rozhodnutí, které by vedoucí dozorový úřad měl co nejvíce zohlednit při přípravě svého návrhu rozhodnutí v rámci tohoto mechanismu jediného kontaktního místa. |
(128) | Pravidla týkající se vedoucího dozorového úřadu a mechanismu jediného kontaktního místa by se neměla vztahovat na případy, kdy zpracování provádějí orgány veřejné moci nebo soukromé subjekty ve veřejném zájmu. V takových případech by jediným dozorovým úřadem příslušným k výkonu pravomocí, které mu byly svěřeny podle tohoto nařízení, měl být dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen. |
(129) | Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud. Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Členské státy mohou vymezit další úkoly související s ochranou osobních údajů podle tohoto nařízení. Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými v právu Unie a členského státu, nestranně, spravedlivě a v přiměřených lhůtách. Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže. Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky procesního práva členského státu, jako je například požadavek obstarat si předem soudní povolení. Každé právně závazné opatření dozorového úřadu by mělo mít písemnou formu, být jasné a jednoznačné, uvádět dozorový úřad, který je vydal, a datum svého vydání, mělo by být opatřeno podpisem vedoucího či vedoucím zmocněného člena dozorového úřadu a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu. Tím by však neměly být vyloučeny další požadavky podle procesního práva členského státu. Přijetí právně závazného rozhodnutí znamená, že může dojít k soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal. |
(130) | Pokud dozorový úřad, jemuž byla stížnost podána, není vedoucím dozorovým úřadem, měl by s ním vedoucí dozorový úřad úzce spolupracovat v souladu s ustanoveními o spolupráci a jednotnosti obsaženými v tomto nařízení. V těchto případech by vedoucí dozorový úřad měl při přijetí opatření s právními účinky, včetně uložení správních pokut, v maximální míře zohlednit stanovisko dozorového úřadu, jemuž byla stížnost podána a jenž by měl i nadále mít pravomoc provádět společně s příslušným dozorovým úřadem jakékoliv šetření na území svého členského státu. |
(131) | V případech, kdy by měl jiný dozorový úřad jednat jako vedoucí dozorový úřad pro činnosti zpracování prováděné správcem nebo zpracovatelem, ale kdy se konkrétní předmět stížnosti nebo možné porušení týkají pouze činností zpracování prováděných správcem či zpracovatelem v tom členském státě, v němž byla stížnost podána nebo zjištěno možné porušení, a daná záležitost se podstatným způsobem nedotýká či pravděpodobně nedotkne subjektů údajů v dalších členských státech, by dozorový úřad, jenž obdržel stížnost nebo odhalil situace, které představují možné porušení tohoto nařízení, nebo byl o těchto situacích informován jiným způsobem, měl usilovat o smírné řešení se správcem, a nebude-li v tomto úsilí úspěšný, měl by uplatnit veškerou škálu svých pravomocí. Mělo by sem mimo jiné patřit zvláštní zpracování prováděné na území členského státu daného dozorového úřadu nebo zpracování týkající se subjektů údajů na území tohoto členského státu, zpracování prováděné v souvislosti s nabídkou zboží nebo služeb konkrétně zaměřenou na subjekty údajů na území členského státu daného dozorového úřadu, nebo zpracování, které musí být posouzeno s ohledem na příslušné právní závazky podle práva členského státu. |
(132) | Činnosti dozorových úřadů, jejichž cílem je zvyšování povědomí veřejnosti, by měly zahrnovat specifická opatření zaměřená na správce a zpracovatele, včetně mikropodniků a malých a středních podniků, jakož i na fyzické osoby, zejména v kontextu vzdělávání. |
(133) | Dozorové úřady by si při plnění svých úkolů měly být vzájemně nápomocny, aby bylo zajištěno jednotné uplatňování a prosazování tohoto nařízení na vnitřním trhu. Dozorový úřad, který požádal o vzájemnou pomoc, může přijmout prozatímní opatření, pokud neobdrží odpověď na žádost o vzájemnou pomoc do jednoho měsíce od obdržení této žádosti jiným dozorovým úřadem. |
(134) | Každý dozorový úřad by se měl ve vhodných případech účastnit společných postupů dozorových úřadů. Dožádaný dozorový úřad by měl mít povinnost reagovat na žádost ve stanovené lhůtě. |
(135) | Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi dozorovými úřady. Tento mechanismus by se měl použít především tehdy, má-li některý dozorový úřad v úmyslu přijmout opatření s právními účinky ve vztahu k operacím zpracování, které se podstatně dotýkají významného počtu subjektů údajů v několika členských státech. Měl by se použít také v případě, kdy kterýkoli dotčený dozorový úřad nebo Komise žádají, aby byla daná záležitost vyřešena v rámci mechanismu jednotnosti. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv. |
(136) | Při použití mechanismu jednotnosti by sbor měl ve stanovené lhůtě vydat stanovisko, pokud tak rozhodne většina jeho členů nebo pokud o to požádá kterýkoli dotčený dozorový úřad či Komise. Sbor by rovněž měl být zmocněn k přijímání právně závazných rozhodnutí v případě sporů mezi dozorovými úřady. Pro tyto účely by měl vydávat v zásadě se souhlasem dvoutřetinové většiny svých členů právně závazná rozhodnutí v jasně určených případech, kdy mezi dozorovými úřady existují protikladná stanoviska, zejména v rámci mechanismu spolupráce mezi vedoucím dozorovým úřadem a dotčenými dozorovými úřady, pokud jde o podstatu věci, zejména o to, zda došlo k porušení tohoto nařízení. |
(137) | Může se vyskytnout naléhavá potřeba konat z důvodu ochrany práv a svobod subjektů údajů, zejména pokud hrozí, že výkon některého z práv subjektu údajů by mohl být značně ztížen. Dozorový úřad by proto měl mít možnost v řádně odůvodněných případech přijmout na svém území prozatímní opatření se stanovenou dobou platnosti, která by neměla být delší než tři měsíce. |
(138) | Použití takového mechanismu by mělo být podmínkou legality opatření s právními účinky přijatého dozorovým úřadem v těch případech, kdy je jeho použití povinné. V ostatních případech s přeshraničním rozměrem by se měl použít mechanismus spolupráce mezi vedoucím dozorovým úřadem a dotčenými dozorovými úřady a dotčené dozorové úřady by si na dvoustranné nebo mnohostranné úrovni mohly poskytovat vzájemnou pomoc a provádět společné postupy, aniž by mechanismus jednotnosti použily. |
(139) | Za účelem podpory důsledného uplatňování tohoto nařízení by sbor měl být zřízen jako nezávislý subjekt Unie. Aby sbor mohl plnit své cíle, měl by mít právní subjektivitu. Sbor by měl zastupovat jeho předseda. Sbor by měl nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, zřízenou směrnicí 95/46/ES. Měl by být složen z vedoucího dozorového úřadu každého členského státu a evropského inspektora ochrany údajů nebo jejich příslušných zástupců. Komise by se měla na jeho činnosti sboru podílet bez hlasovacího práva a evropský inspektor ochrany údajů by měl mít zvláštní hlasovací práva. Sbor by měl přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi poradenství, zejména ohledně úrovně ochrany ve třetích zemích nebo v mezinárodních organizacích, a podporovat spolupráci dozorových úřadů v celé Unii. Sbor by měl při plnění svých úkolů jednat nezávisle. |
(140) | Sboru by měl být nápomocen sekretariát, jehož služby zajistí evropský inspektor ochrany údajů. Pracovníci evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením by měli své úkoly plnit výhradně na základě pokynů a pod vedením předsedy sboru. |
(141) | Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorovému úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl každý dozorový úřad přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky. |
(142) | Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit určitý neziskový subjekt, organizaci nebo sdružení, které jsou zřízeny v souladu s právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a které působí v oblasti ochrany osobních údajů, aby podaly jeho jménem stížnost u dozorového úřadu, uplatnily právo na soudní ochranu jménem subjektu údajů nebo uplatnily jménem subjektu údajů právo na odškodnění, je-li stanoveno v právu členského státu. Členský stát může stanovit, že tento subjekt, organizace nebo sdružení má právo podat v daném členském státě stížnost nezávisle na pověření od subjektu údajů a právo na účinnou soudní ochranu, pokud mají důvod se domnívat, že došlo k porušení práva subjektu údajů v důsledku zpracování osobních údajů, které je porušením tohoto nařízení. Tento subjekt, organizace nebo sdružení nesmí požadovat jménem subjektu údajů náhradu škody, aniž by ho tím subjekt údajů pověřil. |
(143) | Každá fyzická nebo právnická osoba má právo podat žalobu na neplatnost rozhodnutí sboru u Soudního dvora za podmínek stanovených v článku 263 Smlouvy o fungování EU. Jakožto orgány, jimž jsou taková rozhodnutí určena, musí dotčené dozorové úřady, které chtějí tato rozhodnutí napadnout, v souladu s článkem 263 Smlouvy o fungování EU žalobu podat ve lhůtě dvou měsíců ode dne, kdy jim byla rozhodnutí oznámena. Pokud se rozhodnutí sboru bezprostředně a osobně dotýkají správce, zpracovatele nebo stěžovatele, mohou tyto osoby podat žalobu na neplatnost těchto rozhodnutí a v souladu s článkem 263 Smlouvy o fungování EU ve lhůtě dvou měsíců od jejich zveřejnění na internetových stránkách sboru. Aniž je dotčeno toto právo podle článku 263 Smlouvy o fungování EU, měla by mít každá fyzická nebo právnická osoba právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky. Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní. Pokud dozorový úřad odmítl nebo zamítl stížnost, může se stěžovatel obrátit na soudy v tomtéž členském státě. Pokud jde o soudní ochranu související s uplatňováním tohoto nařízení, vnitrostátní soudy, které zvažují rozhodnutí o otázce nezbytné pro vydání jejich rozsudku, mohou, nebo v případě uvedeném v článku 267 Smlouvy o fungování EU musí, požádat Soudní dvůr o rozhodnutí o předběžné otázce týkající se výkladu práva Unie včetně tohoto nařízení. Kromě toho pokud je rozhodnutí dozorového úřadu, kterým se provádí rozhodnutí sboru, napadeno u vnitrostátního soudu a předmětem sporu je platnost daného rozhodnutí sboru, nemá tento vnitrostátní soud pravomoc prohlásit rozhodnutí sboru za neplatné, nýbrž se musí v případě, že je považuje za neplatné, obrátit v otázce platnosti na Soudní dvůr v souladu s článkem 267 Smlouvy o fungování EU. Vnitrostátní soud se však nemůže s otázkou platnosti rozhodnutí sboru obrátit na Soudní dvůr na žádost fyzické či právnické osoby, která měla možnost podat žalobu na neplatnost tohoto rozhodnutí, zejména pokud se jí rozhodnutí bezprostředně a osobně dotýkalo, avšak ve lhůtě stanovené v článku 263 Smlouvy o fungování EU tak neučinila. |
(144) | Domnívá-li se soud vedoucí řízení proti rozhodnutí dozorového úřadu, že před příslušným soudem v jiném členském státě je vedeno řízení týkající se stejného zpracování, jako je například stejný předmět, pokud jde o zpracování prováděné stejným správcem nebo zpracovatelem, nebo stejný důvod činnosti, měl by tento soud kontaktovat, aby ověřil existenci takových souvisejících řízení. Není-li související řízení před soudem v jiném členském státě dosud vyřízeno, mohou všechny soudy, u nichž nebylo řízení zahájeno jako první, svá řízení přerušit nebo se mohou na žádost zúčastněné strany příslušnosti vzdát ve prospěch soudu, u něhož bylo řízení zahájeno jako první, jestliže je soud, u něhož bylo řízení zahájeno jako první, příslušný pro daná řízení a spojení těchto souvisejících řízení je podle práva státu tohoto soudu přípustné. Má se za to, že řízení spolu navzájem souvisejí, pokud je mezi nimi tak úzký vztah, že jejich společné projednání a rozhodnutí je vhodné k tomu, aby se zabránilo vydání vzájemně si odporujících rozhodnutí v oddělených řízeních. |
(145) | Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci členského státu, který jedná v rámci výkonu veřejné moci. |
(146) | Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. Jsou-li správci nebo zpracovatelé zapojeni do téhož zpracování, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou újmu. Jsou-li však tito správci nebo zpracovatelé v souladu s právem členského státu spojeni v tomtéž řízení, může být náhrada újmy rozvržena podle odpovědnosti každého správce nebo zpracovatele za újmu způsobenou zpracováním, za podmínky, že je zajištěno úplné a účinné odškodnění subjektu údajů, jenž újmu utrpěl. Kterýkoli správce nebo zpracovatel, který uhradil plnou náhradu újmy, může následně zahájit soudní řízení proti jiným správcům nebo zpracovatelům zapojeným do téhož zpracování. |
(147) | Jsou-li v tomto nařízení obsažena zvláštní pravidla o soudní příslušnosti, zejména pokud jde o řízení týkající se žádosti o soudní ochranu, včetně odškodnění, vedené proti správci nebo zpracovateli, nemělo by uplatnění těchto zvláštních pravidel být dotčeno obecnými pravidly o soudní příslušnosti, jako jsou například pravidla stanovená v nařízení Evropského parlamentu a Rady (EU) č. 1215/2012 (13). |
(148) | S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut, a to vedle nebo namísto vhodných opatření uložených dozorovým úřadem podle tohoto nařízení. V méně závažných případech porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí. Náležitě by se však měla zohlednit povaha, závažnost a doba trvání porušení, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči správci nebo zpracovateli nařízena, dodržování kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami právních předpisů Unie a Listiny, včetně účinné právní ochrany a spravedlivého procesu. |
(149) | Členské státy by měly mít možnost stanovit pravidla týkající se trestních sankcí za porušení tohoto nařízení, včetně porušení vnitrostátních pravidel přijatých podle tohoto nařízení a v jeho mezích. Tyto trestní sankce mohou rovněž zahrnovat odebrání zisků získaných na základě porušení tohoto nařízení. Uložení trestních sankcí za porušení těchto vnitrostátních pravidel a správních pokut by však nemělo vést k porušení zásady ne bis in idem, jak ji vykládá Soudní dvůr. |
(150) | Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý dozorový úřad mít pravomoc uložit správní pokuty. V tomto nařízení by měly být uvedeny porušení a maximální hranice a kritéria pro stanovení souvisejících správních pokut, jež by měl v každém jednotlivém případě určit příslušný dozorový úřad při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím zejména k povaze, závažnosti a době trvání tohoto porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Pro účely uložení správních pokut podniku by měl být podnik chápán ve smyslu článků 101 a 102 Smlouvy o fungování EU. Jsou-li správní pokuty uloženy osobám, které nejsou podnikem, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby. K prosazování důsledného uplatňování správních pokut je možné využít rovněž mechanismus jednotnosti. Zda a do jaké míry by se měly správní pokuty vztahovat na orgány veřejné moci, by měl určit členský stát. Uložení správní pokuty nebo varování nemá vliv na uplatňování dalších pravomocí dozorových úřadů nebo dalších sankcí podle tohoto nařízení. |
(151) | Právní systémy Dánska a Estonska neumožňují uložení správních pokut v podobě stanovené tímto nařízením. Pravidla týkající se správních pokut mohou být uplatňována tak, že v Dánsku pokutu uloží příslušný vnitrostátní soud jakožto trestní sankci a v Estonsku pokutu uloží dozorový úřad v přestupkovém řízení, pokud takové uplatnění pravidel má v uvedených členských státech účinek, který je rovnocenný správním pokutám uloženým dozorovými úřady. Příslušné vnitrostátní soudy by tedy měly zohlednit doporučení dozorového úřadu, který dal podnět k uložení pokuty. Uložené pokuty by v každém případě měly být účinné, přiměřené a odrazující. |
(152) | Nejsou-li správní sankce harmonizovány tímto nařízením nebo v případě potřeby v jiných případech, jako jsou závažná porušení tohoto nařízení, měly by členské státy zavést systém, který zajistí uložení účinných, přiměřených a odrazujících pokut. Povaha těchto trestních nebo správních sankcí by měla být stanovena právem členského státu. |
(153) | Právo členského státu by měly uvádět pravidla upravující svobodu projevu a informací, včetně novinářského, akademického, uměleckého nebo literárního projevu, do souladu s právem na ochranu osobních údajů podle tohoto nařízení. Na zpracování osobních údajů prováděné výhradně pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu by se měly vztahovat odchylky nebo výjimky z některých ustanovení tohoto nařízení, je-li to nutné za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu a informací, jak je zakotveno v článku 11 Listiny. To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření stanovující výjimky a odchylky nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto výjimky a odchylky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, nezávislé dozorové úřady a na spolupráci a jednotné použití a zvláštní případy zpracování osobních údajů. Pokud se tyto výjimky a odchylky v jednotlivých členských státech liší, mělo by se použít právo členského státu, které se na správce vztahuje. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika, šířeji. |
(154) | Toto nařízení umožňuje, aby při jeho provádění byla zohledněna zásada přístupu veřejnosti k úředním dokumentům. Lze mít za to, že přístup veřejnosti k úředním dokumentům je ve veřejném zájmu. Orgán veřejné moci nebo veřejný subjekt by měl mít možnost zpřístupnit veřejnosti osobní údaje v dokumentech, které jsou v jeho držení, pokud je toto zpřístupnění stanoveno právem Unie nebo členského státu, které se na tento orgán nebo subjekt vztahuje. Tyto právní předpisy by měly zajišťovat soulad přístupu veřejnosti k úředním dokumentům a opakovaného použití informací veřejného sektoru s právem na ochranu osobních údajů, a mohou proto stanovit nezbytné zajištění souladu s právem na ochranu osobních údajů podle tohoto nařízení. Odkaz na orgány veřejné moci a veřejné subjekty by v tomto kontextu měl zahrnovat všechny orgány nebo jiné subjekty, na něž se vztahuje právo členského státu v oblasti přístupu veřejnosti k dokumentům. Směrnice Evropského parlamentu a Rady 2003/98/ES (14) ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle práva Unie a členských států, a zejména nemění povinnosti a práva podle tohoto nařízení. Uvedená směrnice by se zejména neměla vztahovat na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a na části dokumentů přístupné podle těchto režimů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu fyzických osob v souvislosti se zpracováním osobních údajů. |
(155) | Právo členského státu nebo kolektivní smlouvy (včetně „podnikových dohod“) mohou stanovit zvláštní pravidla, která upraví zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména podmínky, za nichž lze osobní údaje v souvislosti se zaměstnáním zpracovávat na základě souhlasu zaměstnance, za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a různorodosti na pracovišti, zdraví a bezpečnosti na pracovišti, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru. |
(156) | Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám týkajícím se práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace osobních údajů). Členské státy by měly stanovit vhodné záruky týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Členské státy by měly mít v souvislosti se zpracováním osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely možnost stanovit, za zvláštních podmínek podléhajícím vhodným zárukám pro subjekty údajů, upřesnění a odchylky týkající se požadavků na informace a práva na opravu nebo výmaz osobních údajů, práva být zapomenut, práva na omezení zpracování, práva na přenositelnost údajů a práva vznést námitku. S danými podmínkami a zárukami mohou být spojeny zvláštní postupy určené subjektům údajů pro uplatňování těchto práv, je-li to vhodné s ohledem na účely daného konkrétního zpracování, spolu s technickými a organizačními opatřeními, jejichž cílem je minimalizovat zpracování osobních údajů při uplatňování zásad přiměřenosti a nutnosti. Zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími příslušnými právními předpisy, upravujícími například klinická hodnocení. |
(157) | Díky propojení informací z registrů mohou výzkumní pracovníci získat velmi cenné poznatky o rozšířených onemocněních, jako jsou kardiovaskulární onemocnění, rakovina a deprese. Na základě informací z registrů mohou být výsledky výzkumů posíleny, neboť takové výzkumy vycházejí z rozsáhlejšího vzorku populace. V rámci společenských věd umožňuje výzkum vycházející z informací obsažených v registrech výzkumným pracovníkům získat základní poznatky o dlouhodobém vztahu mezi řadou sociálních podmínek, jako je stav nezaměstnanosti a úroveň vzdělání, a jinými životními proměnnými. Výsledky výzkumu získané prostřednictvím registrů poskytují spolehlivé a velmi kvalitní poznatky, které mohou sloužit jako základ pro formulaci a provádění znalostní politiky, zvýšit kvalitu života řady osob a zlepšit účinnost sociálních služeb. S cílem usnadnit vědecký výzkum mohou být osobní údaje zpracovávány pro účely vědeckého výzkumu s výhradou vhodných podmínek a záruk stanovených v právu Unie nebo členského státu. |
(158) | Toto nařízení by se mělo vztahovat i na případy zpracování osobních údajů pro účely archivace, přičemž je třeba mít na paměti, že by se nemělo vztahovat na osobní údaje zesnulých osob. Orgány veřejné moci či veřejné nebo soukromé subjekty, které mají v držení záznamy veřejného zájmu, by měly být útvary, které mají na základě práva Unie nebo členského státu právní povinnost získávat, uchovávat, posuzovat, uspořádat, popisovat, sdělovat, podporovat a šířit záznamy trvalé hodnoty pro obecný veřejný zájem a poskytovat k nim přístup. Členské státy by rovněž měly mít možnost stanovit, že osobní údaje mohou být dále zpracovávány pro účely archivace, například s cílem poskytnout konkrétní informace související s politickým chováním za bývalých totalitních režimů, s genocidou, zločiny proti lidskosti, zejména holokaustem, nebo válečnými zločiny. |
(159) | Jsou-li osobní údaje zpracovávány pro účely vědeckého výzkumu, toto nařízení by se mělo vztahovat i na takové zpracování. Pro účely tohoto nařízení by zpracování osobních údajů pro účely vědeckého výzkumu mělo být chápáno v širokém smyslu a zahrnovat například technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů. Kromě toho by mělo zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování EU, jímž je vytvoření evropského výzkumného prostoru. K účelům vědeckého výzkumu by rovněž měly patřit studie prováděné ve veřejném zájmu v oblasti veřejného zdraví. V zájmu dodržení specifických podmínek zpracování osobních údajů pro vědecké účely by měly platit zvláštní podmínky zejména pro zveřejňování nebo jiné zpřístupnění osobních údajů v souvislosti s účely vědeckého výzkumu. Vyplynou-li z vědeckého výzkumu, zejména v souvislosti se zdravím, důvody pro přijetí dalších opatření v zájmu subjektu údajů, měla by se s ohledem na tato opatření uplatňovat obecná pravidla tohoto nařízení. |
(160) | Jsou-li osobní údaje zpracovávány pro účely historického výzkumu, toto nařízení by se mělo vztahovat i na takové zpracování. K takovým účelům by rovněž měl patřit historický výzkum a výzkum pro genealogické účely, přičemž je třeba mít na paměti, že by se toto nařízení nemělo vztahovat na zesnulé osoby. |
(161) | Pro účely vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit příslušná ustanovení nařízení Evropského parlamentu a Rady (EU) č. 536/2014 (15). |
(162) | Jsou-li osobní údaje zpracovávány pro statistické účely, toto nařízení by se mělo vztahovat na takové zpracování. Právo Unie nebo členského státu by mělo v mezích tohoto nařízení určit statistický obsah, kontrolu přístupu, zvláštní podmínky zpracování osobních údajů pro statistické účely a vhodná opatření k zaručení práv a svobod subjektu údajů a k zajištění statistické důvěrnosti. Statistickými účely se rozumí jakékoli operace shromažďování a zpracování osobních údajů nezbytné pro statistická zjišťování nebo pro generování statistických výsledků. Tyto statistické výsledky mohou být dále použity pro různé účely, včetně účelů vědeckého výzkumu. Jestliže se jedná o statistické účely, výsledkem zpracování nejsou osobní údaje, ale souhrnné údaje, a tento výsledek ani dané osobní údaje nejsou používány na podporu opatření nebo rozhodnutí týkajících se konkrétní fyzické osoby. |
(163) | Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU, zatímco vnitrostátní statistiky by měly splňovat rovněž požadavky práva členského státu. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 (16). |
(164) | Pokud jde o pravomoci dozorových úřadů získat od správce nebo zpracovatele přístup k osobním údajům a přístup do jejich prostor, mohou členské státy v mezích tohoto nařízení právním předpisem přijmout zvláštní pravidla pro zajištění povinnosti zachovávat služební nebo jiné rovnocenné tajemství, pokud je to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s povinností zachovávat služební tajemství. Nejsou tím dotčeny stávající povinnosti členských států přijmout pravidla o uplatňování služebního tajemství tam, kde to vyžadují právní předpisy Unie. |
(165) | V souladu s článkem 17 Smlouvy o fungování EU toto nařízení uznává postavení, které podle stávajícího ústavního práva mají církve a náboženská sdružení či společenství v členských státech, a nedotýká se jej. |
(166) | Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU. Akty v přenesené pravomoci by měly být přijímány především s ohledem na kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, informace, které mají být poskytovány pomocí standardizovaných ikon a postupy pro prezentaci takových ikon. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě. |
(167) | V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011. Komise by v této souvislosti měla zvážit zvláštní opatření, pokud jde o mikropodniky a malé a střední podniky. |
(168) | Přezkumný postup by se měl použít při přijímání prováděcích aktů, pokud jde o standardní smluvní doložky mezi správci a zpracovateli a mezi zpracovateli navzájem, kodexy chování; technické normy a mechanismy pro vydávání osvědčení; odpovídající úroveň ochrany poskytovanou určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací; přijetí standardních ustanovení o ochraně údajů; formáty a postupy pro výměnu informací elektronickými prostředky mezi správci, zpracovateli a dozorovými úřady pro účely závazných podnikových pravidel; vzájemnou pomoc; ujednání pro výměnu informací elektronickými prostředky mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. |
(169) | Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech, jestliže dostupné důkazy poukazují na to, že určitá třetí země, určité území či konkrétní odvětví zpracování v určité třetí zemi nebo určitá mezinárodní organizace nezajišťuje odpovídající úroveň ochrany, a jedná-li se o krajně naléhavé případy, měla by Komise přijmout okamžitě použitelné prováděcí akty. |
(170) | Jelikož cíle tohoto nařízení, totiž zajištění přiměřené úrovně ochrany fyzických osob a volného pohybu osobních údajů v Unii, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej, z důvodu rozsahu nebo účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení tohoto cíle. |
(171) | Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost. Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení. Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena. |
(172) | Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 a vydal stanovisko dne 7. března 2012 (17). |
(173) | Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracování osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici Evropského parlamentu a Rady 2002/58/ES (18) a sledující stejný cíl, včetně povinností správce a práv fyzických osob. Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být uvedená směrnice odpovídajícím způsobem změněna. Jakmile bude toto nařízení přijato, směrnice 2002/58/ES by měla být podrobena přezkumu, zejména s cílem zajistit soudržnost s tímto nařízením, |
PŘIJALY TOTO NAŘÍZENÍ:
KAPITOLA I
Obecná ustanovení
Článek 1
Předmět a cíle
1. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.
2. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.
3. Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
Článek 2
Věcná působnost
1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
a) | při výkonu činností, které nespadají do oblasti působnosti práva Unie; |
b) | členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU; |
c) | fyzickou osobou v průběhu výlučně osobních či domácích činností; |
d) | příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. |
3. Na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie se vztahuje nařízení (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98.
4. Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.
Článek 3
Místní působnost
1. Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.
2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí:
a) | s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo |
b) | s monitorováním jejich chování, pokud k němu dochází v rámci Unie. |
3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného.
Článek 4
Definice
Pro účely tohoto nařízení se rozumí:
1) | „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; |
2) | „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; |
3) | „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu; |
4) | „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu; |
5) | „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě; |
6) | „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska; |
7) | „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení; |
8) | „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; |
9) | „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování; |
10) | „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů; |
11) | „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů; |
12) | „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů; |
13) | „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby; |
14) | „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje; |
15) | „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu; |
16) | „hlavní provozovnou“:
|
17) | „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení; |
18) | „podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost; |
19) | „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky; |
20) | „závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost; |
21) | „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51; |
22) | „dotčeným dozorovým úřadem“ dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:
|
23) | „přeshraničním zpracováním“ buď:
|
24) | „relevantní a odůvodněnou námitkou“ námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie; |
25) | „službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 (19); |
26) | „mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě. |
KAPITOLA II
Zásady
Článek 5
Zásady zpracování osobních údajů
1. Osobní údaje musí být:
a) | ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“); |
b) | shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“); |
c) | přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“); |
d) | přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“); |
e) | uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“); |
f) | zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“); |
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).
Článek 6
Zákonnost zpracování
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) | subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; |
b) | zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; |
c) | zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; |
d) | zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; |
e) | zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; |
f) | zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. |
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.
3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) | právem Unie nebo |
b) | právem členského státu, které se na správce vztahuje. |
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.
4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:
a) | jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování; |
b) | okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem; |
c) | povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10; |
d) | možné důsledky zamýšleného dalšího zpracování pro subjekty údajů; |
e) | existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace. |
Článek 7
Podmínky vyjádření souhlasu
1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.
3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
4. Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.
Článek 8
Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti
1. Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.
2. Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
3. Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.
Článek 9
Zpracování zvláštních kategorií osobních údajů
1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:
a) | subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen; |
b) | zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů; |
c) | zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas; |
d) | zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt; |
e) | zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů; |
f) | zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí; |
g) | zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů; |
h) | zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 4; |
i) | zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství; |
j) | zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů. |
3. Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím nebo na jeho odpovědnost podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány.
4. Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.
Článek 10
Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva Unie nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů. Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.
Článek 11
Zpracování, které nevyžaduje identifikaci
1. Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.
2. Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 15 až 20, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.
KAPITOLA III
Práva subjektu údajů
Oddíl 1
Transparentnost a postupy
Článek 12
Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
2. Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.
3. Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.
4. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
5. Informace podle článků 13 a 14 a veškerá sdělení a veškeré úkony podle článků 15 až 22 a 34 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:
a) | uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo |
b) | odmítnout žádosti vyhovět. |
Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.
6. Aniž je dotčen článek 11, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 15 až 21, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
7. Informace, které mají být subjektům údajů poskytnuty podle článků 13 a 14, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.
8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem určení informací, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon.
Oddíl 2
Informace a přístup k osobním údajům
Článek 13
Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a) | totožnost a kontaktní údaje správce a jeho případného zástupce; |
b) | případně kontaktní údaje případného pověřence pro ochranu osobních údajů; |
c) | účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; |
d) | oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f); |
e) | případné příjemce nebo kategorie příjemců osobních údajů; |
f) | případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. |
2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) | doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; |
b) | existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů; |
c) | pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním; |
d) | existence práva podat stížnost u dozorového úřadu; |
e) | skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů; |
f) | skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. |
3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
4. Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.
Článek 14
Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:
a) | totožnost a kontaktní údaje správce a případně jeho zástupce; |
b) | případně kontaktní údaje případného pověřence pro ochranu osobních údajů; |
c) | účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; |
d) | kategorie dotčených osobních údajů; |
e) | případné příjemce nebo kategorie příjemců osobních údajů; |
f) | případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. |
2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a) | doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; |
b) | oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f); |
c) | existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů; |
d) | pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním; |
e) | existence práva podat stížnost u dozorového úřadu; |
f) | zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů; |
g) | skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. |
3. Správce poskytne informace uvedené v odstavcích 1 a 2:
a) | v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány; |
b) | nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo |
c) | nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci. |
4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
5. Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:
a) | subjekt údajů již uvedené informace má; |
b) | se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti; |
c) | je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo |
d) | osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti. |
Článek 15
Právo subjektu údajů na přístup k osobním údajům
1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a) | účely zpracování; |
b) | kategorie dotčených osobních údajů; |
c) | příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; |
d) | plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; |
e) | existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; |
f) | právo podat stížnost u dozorového úřadu; |
g) | veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; |
h) | skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. |
2. Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.
3. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
4. Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.
Oddíl 3
Oprava a výmaz
Článek 16
Právo na opravu
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Článek 17
Právo na výmaz („právo být zapomenut“)
1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) | osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; |
b) | subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování; |
c) | subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2; |
d) | osobní údaje byly zpracovány protiprávně; |
e) | osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje; |
f) | osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1. |
2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:
a) | pro výkon práva na svobodu projevu a informace; |
b) | pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen; |
c) | z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3; |
d) | pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování; |
e) | pro určení, výkon nebo obhajobu právních nároků. |
Článek 18
Právo na omezení zpracování
1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
a) | subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit; |
b) | zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; |
c) | správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; |
d) | subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů. |
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
Článek 19
Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
Článek 20
Právo na přenositelnost údajů
1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) | zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a |
b) | zpracování se provádí automatizovaně. |
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.
Oddíl 4
Právo vznést námitku a automatizované individuální rozhodování
Článek 21
Právo vznést námitku
1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
4. Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.
5. V souvislosti s využíváním služeb informační společnosti, a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
6. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.
Článek 22
Automatizované individuální rozhodování, včetně profilování
1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
a) | nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů; |
b) | povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo |
c) | založeno na výslovném souhlasu subjektu údajů. |
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.
4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.
Oddíl 5
Omezení
Článek 23
Omezení
1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
a) | národní bezpečnost; |
b) | obranu; |
c) | veřejnou bezpečnost; |
d) | prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; |
e) | jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení; |
f) | ochranu nezávislosti soudnictví a soudních řízení; |
g) | prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání; |
h) | monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až e) a g); |
i) | ochranu subjektu údajů nebo práv a svobod druhých; |
j) | vymáhání občanskoprávních nároků. |
2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:
a) | účely zpracování nebo kategorie zpracování; |
b) | kategorie osobních údajů; |
c) | rozsah zavedených omezení; |
d) | záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání; |
e) | specifikaci správců nebo kategorie správců; |
f) | doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování; |
g) | rizika z hlediska práv a svobod subjektů údajů; a |
h) | právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení. |
KAPITOLA IV
Správce a zpracovatel
Oddíl 1
Obecné povinnosti
Článek 24
Odpovědnost správce
1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.
2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.
3. Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.
Článek 25
Záměrná a standardní ochrana osobních údajů
1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.
2. Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.
3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavcích 1 a 2 tohoto článku, je schválený mechanismus pro vydávání osvědčení podle článku 42.
Článek 26
Společní správci
1. Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností podle tohoto nařízení, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.
2. Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektům údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.
3. Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení u každého ze správců i vůči každému z nich.
Článek 27
Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v Unii
1. Pokud se použije čl. 3 odst. 2, správce nebo zpracovatel písemně jmenuje svého zástupce v Unii.
2. Povinnost uvedená v odstavci 1 tohoto článku se nevztahuje na:
a) | zpracování, které je příležitostné, nezahrnuje, ve velkém měřítku, zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10, a u něhož je nepravděpodobné, že by s ohledem na svou povahu, kontext, rozsah a účely představovalo riziko pro práva a svobody fyzických osob; nebo |
b) | orgán veřejné moci nebo veřejný subjekt. |
3. Zástupce je usazen v jednom z členských států, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami, nebo jejichž chování je monitorováno.
4. Zástupce je správcem nebo zpracovatelem zmocněn v tom smyslu, že se na něj vedle správce nebo zpracovatele nebo místo nich mohou obracet zejména dozorové úřady a subjekty údajů ohledně všech otázek souvisejících se zpracováním za účelem zajištění souladu s tímto nařízením.
5. Tím, že správce nebo zpracovatel jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být zahájeny proti správci nebo zpracovateli samotnému.
Článek 28
Zpracovatel
1. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
2. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
3. Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
a) | zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu; |
b) | zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti; |
c) | přijme všechna opatření požadovaná podle článku 32; |
d) | dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4; |
e) | zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III; |
f) | je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici; |
g) | v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů; |
h) | poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje. |
Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.
4. Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.
5. Jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, je skutečnost, že zpracovatel dodržuje schválený kodex chování uvedených v článku 40 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42.
6. Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného správci či zpracovateli podle článků 42 a 43.
7. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 93 odst. 2.
8. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky přijmout dozorový úřad v souladu s mechanismem jednotnosti uvedeným v článku 63.
9. Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.
10. Aniž jsou dotčeny články 82, 83 a 84, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.
Článek 29
Zpracování z pověření správce nebo zpracovatele
Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.
Článek 30
Záznamy o činnostech zpracování
1. Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:
a) | jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů; |
b) | účely zpracování; |
c) | popis kategorií subjektů údajů a kategorií osobních údajů; |
d) | kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; |
e) | informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; |
f) | je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; |
g) | je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. |
2. Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
a) | jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů; |
b) | kategorie zpracování prováděného pro každého ze správců; |
c) | informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; |
d) | je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1. |
3. Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.
4. Správce, zpracovatel nebo případný zástupce správce nebo zpracovatele poskytne záznamy na požádání dozorového úřadu.
5. Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
Článek 31
Spolupráce s dozorovým úřadem
Správce a zpracovatel a případný zástupce správce nebo zpracovatele spolupracují na požádání s dozorovým úřadem při plnění jeho úkolů.
Oddíl 2
Zabezpečení osobních údajů
Článek 32
Zabezpečení zpracování
1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) | pseudonymizace a šifrování osobních údajů; |
b) | schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; |
c) | schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; |
d) | procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. |
2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42.
4. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.
Článek 33
Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu
1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
2. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.
3. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:
a) | popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; |
b) | jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace; |
c) | popis pravděpodobných důsledků porušení zabezpečení osobních údajů; |
d) | popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. |
4. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
5. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
Článek 34
Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
2. V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 33 odst. 3 písm. b), c) a d).
3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
a) | správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování; |
b) | správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví; |
c) | vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření. |
4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.
Oddíl 3
Posouzení vlivu na ochranu osobních údajů a předchozí konzultace
Článek 35
Posouzení vlivu na ochranu osobních údajů
1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.
3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:
a) | systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; |
b) | rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo |
c) | rozsáhlé systematické monitorování veřejně přístupných prostorů. |
4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.
5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.
6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.
7. Posouzení obsahuje alespoň:
a) | systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce; |
b) | posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; |
c) | posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a |
d) | plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob. |
8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.
9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.
10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.
11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.
Článek 36
Předchozí konzultace
1. Správce konzultuje před zpracováním s dozorovým úřadem, pokud z posouzení vlivu na ochranu osobních údajů podle článku 35 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.
2. Pokud se dozorový úřad domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud dozorový úřad neobdrží veškeré informace, o které požádal pro účely konzultace.
3. Při konzultaci s dozorovým úřadem podle odstavce 1 mu správce poskytne informace o těchto aspektech:
a) | ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování, zejména v případě zpracování v rámci skupiny podniků; |
b) | účely a způsoby zamýšleného zpracování; |
c) | opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení; |
d) | kontaktní údaje případného pověřence pro ochranu osobních údajů; |
e) | posouzení vlivu na ochranu osobních údajů podle článku 35 a |
f) | veškeré další informace, o které dozorový úřad požádá. |
4. Členské státy konzultují s dozorovým úřadem během přípravy návrhu legislativního opatření, které má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.
5. Bez ohledu na odstavec 1 může právo členského státu od správců vyžadovat, aby konzultovali s dozorovým úřadem a získali od něj předchozí povolení, pokud jde o zpracování správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.
Oddíl 4
Pověřenec pro ochranu osobních údajů
Článek 37
Jmenování pověřence pro ochranu osobních údajů
1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a) | zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; |
b) | hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo |
c) | hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10. |
2. Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.
3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.
4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.
5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.
6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.
7. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.
Článek 38
Postavení pověřence pro ochranu osobních údajů
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.
Článek 39
Úkoly pověřence pro ochranu osobních údajů
1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:
a) | poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů; |
b) | monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů; |
c) | poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35; |
d) | spolupráce s dozorovým úřadem a |
e) | působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci. |
2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.
Oddíl 5
Kodexy chování a vydávání osvědčení
Článek 40
Kodexy chování
1. Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.
2. Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:
a) | spravedlivé a transparentní zpracování; |
b) | oprávněné zájmy, jež správci v konkrétních situacích sledují; |
c) | shromažďování osobních údajů; |
d) | pseudonymizaci osobních údajů; |
e) | informace poskytované veřejnosti a subjektů údajů; |
f) | výkon práv subjektů údajů; |
g) | informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem; |
h) | opatření a postupy uvedené v článcích 24 a 25 a opatření k zajištění bezpečnosti zpracování podle článku 32; |
i) | ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů; |
j) | předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo |
k) | mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů podle článků 77 a 79. |
3. Vedle správců a zpracovatelů, na něž se vztahuje toto nařízení vztahuje, mohou kodexy chování schválené podle odstavce 5 tohoto článku a mající všeobecnou platnost podle odstavce 9 tohoto článku dodržovat i správci nebo zpracovatelé, na něž se podle článku 3 toto nařízení nevztahuje, s cílem poskytnout vhodné záruky v rámci předání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. e). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nástrojů nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.
4. Kodex chování uvedený v odstavci 2 tohoto článku obsahuje mechanismy, které umožňují subjektu uvedenému v čl. 41 odst. 1 provádět povinné monitorování dodržování jeho ustanovení správci nebo zpracovateli, kteří se zavázali jej dodržovat, aniž tím jsou dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.
5. Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu ný či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.
6. Je-li kodex chování nebo návrh na úpravu či rozšíření kodexu schválen v souladu s odstavcem 5 a jestliže se kodex chování nevztahuje na činnosti zpracování v několika členských státech, dozorový úřad daný kodex zaregistruje a zveřejní.
7. Pokud se návrh kodexu chování týká činností zpracování v několika členských státech, předloží dozorový úřad příslušný podle článku 55 návrh kodexu nebo návrh na úpravu či rozšíření kodexu před jeho schválením v rámci postupu podle článku 63 sboru a ten vydá stanovisko k tomu, zda je návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením nebo zda v situaci uvedené v odstavci 3 tohoto článku poskytuje vhodné záruky.
8. Pokud se ve stanovisku uvedeném v odstavci 7 potvrdí, že kodex chování nebo návrh na úpravu či rozšíření kodexu je v souladu s tímto nařízením nebo že v situaci uvedené v odstavci 3 poskytují vhodné záruky, předloží sbor své stanovisko Komisi.
9. Komise může prostřednictvím prováděcích aktů rozhodnout, že schválený kodex chování, jeho úprava či rozšíření, které jí byly předloženy podle odstavce 8 tohoto článku, mají všeobecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
10. Komise zajistí odpovídající zveřejnění schválených kodexů, o nichž bylo v souladu s odstavcem 9 rozhodnuto, že mají všeobecnou platnost.
11. Sbor všechny schválené kodexy chování a jejich úpravy či rozšíření shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.
Článek 41
Monitorování schválených kodexů chování
1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, může monitorování souladu s kodexem chování podle článku 40 provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem.
2. Subjekt uvedený v odstavci 1 může být akreditován pro monitorování souladu s kodexem chování, pokud tento subjekt:
a) | prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu kodexu; |
b) | stanovil postupy, které mu umožňují posoudit způsobilost dotčených správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování; |
c) | stanovil postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a |
d) | ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů. |
3. Příslušný dozorový úřad předloží návrh kritérií pro akreditaci subjektu uvedeného v odstavci 1 tohoto článku sboru podle mechanismu jednotnosti uvedeného v článku 63.
4. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu a aniž je dotčena kapitola VIII, přijme subjekt uvedený v odstavci 1 tohoto článku s výhradou vhodných záruk v případech porušování kodexu správcem nebo zpracovatelem vhodná opatření, včetně pozastavení účasti daného správce nebo zpracovatele na kodexu nebo jeho vyloučení z této účasti. O těchto opatřeních a důvodech jejich přijetí informuje příslušný dozorový úřad.
5. Příslušný dozorový úřad zruší akreditaci subjektu uvedeného v odstavci 1, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace nebo jestliže je činnosti tohoto subjektu v rozporu s tímto nařízením.
6. Tento článek se netýká zpracování prováděného orgány veřejné moci a veřejnými subjekty.
Článek 42
Vydávání osvědčení
1. Členské státy, dozorové úřady, sbor a Komise podpoří, zejména na úrovni Unie, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Zohlední se specifické potřeby mikropodniků a malých a středních podniků.
2. Vedle dodržování správci a zpracovateli, na něž se vztahuje toto nařízení, mohou být mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky schválené podle odstavce 5 tohoto článku zavedeny rovněž za účelem prokázání existence vhodných záruk poskytnutých správci nebo zpracovateli, na něž se podle článku 3 toto nařízení nevztahuje, v rámci předávání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. f). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.
3. Vydávání osvědčení je dobrovolné a dostupné prostřednictvím postupu, který je transparentní.
4. Osvědčením podle tohoto článku se nesnižuje odpovědnost správce nebo zpracovatele za soulad s tímto nařízením a nejsou jím dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.
5. Osvědčení podle tohoto článku vydávají subjekty pro vydávání osvědčení uvedené v článku 43 nebo příslušný dozorový úřad na základě kritérií jím schválených podle čl. 58 odst. 3 nebo schválených sborem podle článku 63. Jsou-li kritéria schválena sborem, může to vést k vydání společného osvědčení, evropské pečeti ochrany údajů.
6 Správce nebo zpracovatel, který předloží své zpracování mechanismu pro vydávání osvědčení, poskytne subjektu pro vydávání osvědčení uvedenému v článku 43 nebo případně příslušnému dozorovému úřadu veškeré informace a přístup ke svým činnostem zpracování, které jsou pro provedení postupu vydávání osvědčení nezbytné.
7. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení podle článku 43 nebo příslušný dozorový úřad uvedené osvědčení odeberou.
8. Sbor všechny mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.
Článek 43
Subjekty pro vydávání osvědčení
1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, osvědčení vydává a obnovuje subjekt pro vydávání osvědčení, který má příslušnou úroveň odborných znalostí ohledně ochrany údajů, a to poté, co informoval dozorový úřad s cílem umožnit případně výkon jeho pravomocí podle čl. 58 odst. 2 písm. h). Členské státy zajistí, aby byly tyto subjekty pro vydávání osvědčení akreditovány jedním nebo oběma z následujících orgánů:
a) | dozorovým úřadem, který je příslušný podle článku 55 nebo 56; nebo |
b) | vnitrostátním akreditačním orgánem určeným v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 (20), v souladu s normou EN-ISO/IEC 17065/2012 a s dodatečnými požadavky stanovenými dozorovým úřadem, který je příslušný podle článku 55 nebo 56. |
2. Subjekt pro vydávání osvědčení uvedený v odstavci 1 je pro tento účel akreditován v souladu s uvedeným odstavcem, pouze pokud:
a) | prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu osvědčení; |
b) | se zavázal dodržovat kritéria uvedená v čl. 42 odst. 5 a schválená dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63; |
c) | stanovil postupy pro vydávání, pravidelný přezkum a odebírání osvědčení, pečetí a známek dokládajících ochranu údajů; |
d) | stanovil postupy a struktury pro řešení stížností týkajících se porušování osvědčení nebo způsobu, jak správce nebo zpracovatel osvědčení uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a |
e) | ke spokojenosti příslušného dozorového úřadu doložil, že jeho úkoly a povinnosti nevedou ke střetu zájmů. |
3. Akreditace subjektů pro vydávání osvědčení uvedených v odstavcích 1 a 2 tohoto článku probíhá na základě kritérií schválených dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63. V případě akreditace podle odst. 1 písm. c) tohoto článku tyto požadavky doplňují požadavky stanovené v nařízení (ES) č. 765/2008 a technická pravidla, která popisují metody a postupy subjektů pro vydávání osvědčení.
4. Subjekty pro vydávání osvědčení uvedené v odstavci 1 jsou odpovědné za řádné posouzení vedoucí k vydání osvědčení nebo k jeho odebrání, aniž je dotčena odpovědnost správce nebo zpracovatele za soulad s tímto nařízením. Akreditace se vydává na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt pro vydávání osvědčení splňuje příslušné požadavky stanovené tímto článkem.
5. Subjekty pro vydávání osvědčení uvedené v odstavci 1 sdělí příslušným dozorovým úřadům důvody pro vydání nebo odebrání požadovaného osvědčení.
6. Požadavky podle odstavce 3 tohoto článku a kritéria podle čl. 42 odst. 5 zveřejní dozorový úřad ve snadno přístupné formě. Dozorové úřady je předají také sboru. Sbor všechny mechanismy pro vydávání osvědčení a pečetě dokládající ochranu údajů shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.
7. Aniž je dotčena kapitola VIII, zruší příslušný dozorový úřad nebo vnitrostátní akreditační orgán akreditaci, kterou udělil subjektu pro vydávání osvědčení podle odstavce 1 tohoto článku, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace, nebo kroky tohoto subjektu pro vydávání osvědčení porušují toto nařízení.
8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem upřesnění požadavků, které je třeba zohlednit v souvislosti s mechanismy pro vydávání osvědčení o ochraně údajů podle čl. 42 odst. 1.
9. Komise může přijmout prováděcí akty, kterými stanoví technické normy pro mechanismy vydávání osvědčení a pro pečeti a známky dokládající ochranu údajů a mechanismy pro prosazování a uznávání mechanismů vydávání osvědčení a pečetí a známek dokládajících ochranu údajů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
KAPITOLA V
Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím
Článek 44
Obecná zásada pro předávání
K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.
Článek 45
Předání založené na rozhodnutí o odpovídající ochraně
1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.
2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:
a) | právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají; |
b) | existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat souladu s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a |
c) | mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů. |
3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.
4. Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3 tohoto článku a rozhodnutí přijatých na základě čl. 25 odst. 6 směrnice 95/46/ES.
5. Komise v případě, že to vyplyne z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, rozhodne, že určitá třetí země, určité území nebo konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 93 odst. 3 okamžitě použitelné prováděcí akty.
6. Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.
7. Rozhodnutím podle odstavce 5 tohoto článku není dotčeno předávání osobních údajů do dané třetí země, na určité území nebo jednomu nebo více konkrétním odvětvím v dané třetí zemi nebo dané mezinárodní organizaci podle článků 46 až 49.
8. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.
9. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 3 nebo 5 tohoto článku.
Článek 46
Předávání založené na vhodných zárukách
1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.
2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:
a) | právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty; |
b) | závazných podnikových pravidel v souladu s článkem 47; |
c) | standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2; |
d) | standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí přezkumným postupem podle čl. 93 odst. 2; |
e) | schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo |
f) | schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů. |
3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:
a) | smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo |
b) | ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů. |
4. Dozorový úřad použije mechanismus jednotnosti v případech uvedených v čl. 63 odst. 3 tohoto článku.
5. Povolení členského státu nebo dozorového úřadu na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je dozorový úřad v případě potřeby změní, nahradí nebo zruší. Rozhodnutí přijatá Komisí na základě čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 2 tohoto článku.
Článek 47
Závazná podniková pravidla
1. Příslušný dozorový úřad schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 63 závazná podniková pravidla za předpokladu, že:
a) | jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně jejich zaměstnanců; |
b) | subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich osobních údajů; a |
c) | splňují požadavky stanovené v odstavci 2. |
2. Závazná podniková pravidla uvedená v odstavci 1 vymezují přinejmenším:
a) | strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a každého z jejích členů; |
b) | předání údajů nebo soubor předání, včetně kategorií osobních údajů, typu zpracování a jeho účelů, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí; |
c) | svoji právně závaznou povahu, a to interně i externě; |
d) | použití obecných zásad pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezenou dobu uložení, kvalitu údajů, záměrná a standardní ochranu osobních údajů, právní základ pro zpracování, zpracování zvláštních kategorií osobních údajů; opatření k zajištění zabezpečení údajů a požadavky ohledně dalšího předávání subjektům, které podnikovými pravidly nejsou vázány; |
e) | práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů a prostředky jejich výkonu, včetně práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování, včetně profilování v souladu s článkem 22, práva podat stížnost u příslušného dozorového úřadu a příslušných soudů členských států v souladu s článkem 79, právní ochrany a případně i práva na odškodnění v případě porušení závazných podnikových pravidel; |
f) | přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti zcela nebo zčásti zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný; |
g) | způsob poskytování informací o závazných podnikových pravidlech, zejména o ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací uvedených v článcích 13 a 14; |
h) | úkoly všech pověřenců pro ochranu osobních údajů jmenovaných v souladu s článkem 37, nebo jakékoli jiné osoby či subjektu pověřeného monitorováním souladu se závaznými podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a sledování školení a vyřizování stížností; |
i) | postupy pro vyřizování stížností; |
j) | mechanismy, které mají v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost zajistit ověřování souladu se závaznými podnikovými pravidly. Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění opravných opatření pro ochranu práv subjektu údajů. Výsledky takového ověření by měly být oznámeny osobě nebo subjektu uvedenému v písmenu h) a radě řídícího podniku skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a na požádání by měly být zpřístupněny příslušnému dozorovému úřadu; |
k) | mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn dozorovému úřadu; |
l) | mechanismus spolupráce s dozorovým úřadem, který zajistí dodržování pravidel každým členem skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu j) dozorovému úřadu; |
m) | mechanismy pro podávání zpráv příslušnému dozorovému úřadu o právních požadavcích, kterým je člen skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný negativní účinek na záruky poskytované závaznými podnikovými pravidly; a |
n) | vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním údajům trvalý nebo pravidelný přístup. |
3. Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro výměnu informací mezi správci, zpracovateli a dozorovými úřady. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
Článek 48
Předání či zveřejnění údajů nepovolená právem Unie
Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem, aniž jsou dotčeny jiné důvody pro převod podle této kapitoly.
Článek 49
Výjimky pro specifické situace
1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:
a) | daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas; |
b) | předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů; |
c) | předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou; |
d) | předání je nezbytné z důležitých důvodů veřejného zájmu; |
e) | předání je nezbytné pro určení, výkon nebo obhajobu právních nároků; |
f) | předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas; |
g) | k předání dochází z rejstříku, který je na základě práva Unie nebo členského státu určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie nebo členského státu. |
Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval.
2. Předmětem předání podle odst. 1 prvního pododstavce písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.
3. Ustanovení odst. 1 prvního pododstavce písm. a), b) a c) a druhého pododstavce se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.
4. Veřejný zájem uvedený v odst. 1 prvním pododstavci písm. d) musí být uznáván právem Unie nebo právem členského státu, které se na správce vztahuje.
5. V případě absence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci. Členské státy ohlásí taková ustanovení Komisi.
6. Správce nebo zpracovatel zaznamená posouzení i vhodné záruky uvedené v odst. 1 druhém pododstavci tohoto článku v záznamech uvedených v článku 30.
Článek 50
Mezinárodní spolupráce v zájmu ochrany osobních údajů
Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a dozorové úřady vhodné kroky v zájmu:
a) | rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování právních předpisů na ochranu osobních údajů; |
b) | poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod; |
c) | zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů; |
d) | podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi. |
KAPITOLA VI
Nezávislé dozorové úřady
Oddíl 1
Nezávislost postavení
Článek 51
Dozorový úřad
1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen „dozorový úřad“).
2. Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.
3. Pokud je v některém členském státě zřízen více než jeden dozorový úřad, určí tento členský stát dozorový úřad, jenž má tyto úřady zastupovat ve sboru, a stanoví mechanismus, který zajistí, že budou ostatní dozorové úřady dodržovat pravidla týkající se mechanismu jednotnosti uvedeného v článku 63.
4. Každý členský stát oznámí Komisi do 25. května 2018 právní ustanovení, která přijme podle této kapitoly, a bez zbytečného odkladu jakékoliv následné změny týkající se těchto ustanovení.
Článek 52
Nezávislost
1. Každý dozorový úřad jedná při plnění úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.
2. Člen či členové každého dozorového úřadu musí být při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.
3. Člen či členové každého dozorového úřadu se zdrží jakéhokoli jednání neslučitelného s jejich funkcí a během svého funkčního období nesmějí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.
4. Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit v rámci vzájemné pomoci, spolupráce a účasti ve sboru.
5. Každý členský stát zajistí, aby každý dozorový úřad vybíral a měl své vlastní zaměstnance, kteří podléhají výlučně řízení členem či členy tohoto dozorového úřadu.
6. Každý členský stát zajistí, aby každý dozorový úřad podléhal finanční kontrole, která neovlivní jeho nezávislost, a aby měl samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.
Článek 53
Obecné podmínky pro členy dozorového úřadu
1. Členské státy stanoví, že každý člen jejich dozorových úřadů je jmenován transparentním způsobem:
— | parlamentem, |
— | vládou, |
— | hlavou státu, nebo |
— | nezávislým subjektem, kterému toto jmenování svěří právo členského státu. |
2. Každý člen musí mít kvalifikaci, zkušenosti a dovednosti, zejména v oblasti ochrany osobních údajů, potřebné k plnění svých povinností a výkonu svých pravomocí.
3. Povinnosti člena končí uplynutím jeho funkčního období, odstoupením nebo povinným odchodem do důchodu v souladu s právem daného členského státu.
4. Člena může být odvolán pouze v případě závažného pochybení nebo pokud přestane splňovat podmínky pro plnění svých povinností.
Článek 54
Pravidla pro zřízení dozorového úřadu
1. Každý členský stát upraví právním předpisem všechny tyto záležitosti:
a) | zřízení každého dozorového úřadu; |
b) | kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu; |
c) | pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu; |
d) | délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 24. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování; |
e) | zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně; |
f) | podmínky, jimiž se řídí povinnosti člena nebo členů a pracovníků každého dozorového úřadu, zákaz jednání a pracovních činností a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání. |
2. Člen či členové a pracovníci každého dozorového úřadu jsou, v souladu s právem Unie nebo členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozvědí během plnění svých úkolů či výkonu svých pravomocí. Během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na ohlášení porušení tohoto nařízení učiněná fyzickými osobami.
Oddíl 2
Příslušnost, úkoly a pravomoci
Článek 55
Příslušnost
1. Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.
2. Pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. V takových případech se nepoužije článek 56.
3. Dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí.
Článek 56
Příslušnost vedoucího dozorového úřadu
1. Aniž je dotčen článek 55, je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.
2. Odchylně od odstavce 1 je každý dozorový úřad příslušný k tomu, aby se zabýval stížnostmi, které u něj byly podány, nebo možným porušením tohoto nařízení, pokud se daná záležitost týká pouze provozovny v jeho členském státě nebo jsou touto záležitostí podstatným způsobem dotčeny subjekty údajů pouze v jeho členském státě.
3. V případech uvedených v odstavci 2 tohoto článku daný dozorový úřad o této záležitosti neprodleně informuje vedoucí dozorový úřad. Ve lhůtě tří týdnů po obdržení těchto informací vedoucí dozorový úřad rozhodne, zda se postupem podle článku 60 bude danou věcí zabývat či nikoli, a zohlední přitom, zda se v členském státě dozorového úřadu, který jej informoval, nachází provozovna správce nebo zpracovatele či nikoli.
4. Pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat bude, použije se postup podle článku 60. Dozorový úřad, který vedoucí dozorový úřad informoval, může vedoucímu dozorovému úřadu předložit návrh rozhodnutí. Vedoucí dozorový úřad tento návrh co nejvíce zohlední při přípravě návrhu rozhodnutí podle čl. 60 odst. 3.
5. Pokud vedoucí dozorový úřad rozhodne, že se věcí zabývat nebude, zabývá se jí v souladu s články 61 a 62 dozorový úřad, který informoval vedoucí dozorový úřad.
6. Provádějí-li správce či zpracovatel přeshraniční zpracování, je pro ně jediným příslušným orgánem vedoucí dozorový úřad.
Článek 57
Úkoly
1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:
a) | monitoruje a vymáhá uplatňování tohoto nařízení; |
b) | zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti; |
c) | v souladu s právem členského státu poskytuje poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním; |
d) | podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení; |
e) | na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech; |
f) | zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem; |
g) | s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc; |
h) | provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci; |
i) | monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik; |
j) | přijímá standardní smluvní doložky uvedené v čl. 28 odst. 8 a čl. 46 odst. 2 písm. d); |
k) | připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4; |
l) | poskytuje poradenství o operacích zpracování uvedených v čl. 36 odst. 2; |
m) | podporuje vypracování kodexů chování podle čl. 40 odst. 1, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky podle čl. 40 odst. 5; |
n) | vybízí k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů podle čl. 42 odst. 1 a schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5; |
o) | případně provádí pravidelný přezkum osvědčení vydaných v souladu s čl. 42 odst. 7; |
p) | navrhuje a zveřejňuje kritéria pro schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43; |
q) | provádí schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43; |
r) | schvaluje smluvní doložky a ustanovení uvedené v čl. 46 odst. 3; |
s) | schvaluje závazná podniková pravidla podle článku 47; |
t) | přispívá k činnostem sboru; |
u) | vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2; a |
v) | plní veškeré další úkoly související s ochranou osobních údajů. |
2. Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.
3. Provádění úkolů každého dozorového úřadu je pro subjekty údajů a pro případné pověřence pro ochranu osobních údajů bezplatné.
4. Jestliže jsou požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.
Článek 58
Pravomoci
1. Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:
a) | nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů; |
b) | provádět vyšetřování formou auditů ochrany údajů; |
c) | provádět přezkum osvědčení vydaných v souladu s čl. 42 odst. 7; |
d) | ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení; |
e) | získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých úkolů; |
f) | získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s procesním právem Unie nebo členského státu. |
2. Každý dozorový úřad má všechny tyto nápravné pravomoci:
a) | upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení; |
b) | udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení; |
c) | nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení; |
d) | nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě; |
e) | nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů; |
f) | uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu; |
g) | nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19; |
h) | odebrat osvědčení nebo nařídit, aby subjekt pro vydávání osvědčení odebral osvědčení vydané podle článků 42 a 43, nebo aby osvědčení nevydal, pokud požadavky na osvědčení plněny nejsou nebo již přestaly být plněny; |
i) | uložit správní pokutu podle článku 83 vedle či namísto opatření uvedených v tomto odstavci, podle okolností každého jednotlivého případu; |
j) | nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci. |
3. Každý dozorový úřad má všechny tyto povolovací a poradní pravomoci:
a) | poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 36; |
b) | z vlastního podnětu nebo na požádání vydávat stanoviska určená vnitrostátnímu parlamentu, vládě členského státu nebo v souladu s právem členského státu dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů; |
c) | povolovat zpracování uvedené v čl. 36 odst. 5, pokud právo členského státu takové předchozí povolení vyžaduje; |
d) | vydávat stanoviska a schvalovat návrhy kodexů chování podle čl. 40 odst. 5; |
e) | akreditovat subjekty pro vydávání osvědčení podle článku 43; |
f) | vydávat osvědčení a schvalovat kritéria pro vydávání osvědčení podle čl. 42 odst. 5; |
g) | přijímat standardní doložky o ochraně údajů podle čl. 28 odst. 8 a čl. 46 odst. 2 písm. d); |
h) | povolovat smluvní doložky podle čl. 46 odst. 3 písm. a); |
i) | povolovat správní ujednání podle čl. 46 odst. 3 písm. b); |
j) | schvalovat závazná podniková pravidla podle článku 47. |
4. Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.
5. Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.
6. Každý členský stát může v právních předpisech stanovit, že jeho dozorový úřad má další pravomoci než ty uvedené v odstavcích 1, 2 a 3. Výkon těchto pravomocí nesmí narušit účinné fungování kapitoly VII.
Článek 59
Zprávy o činnosti
Každý dozorový úřad vypracovává výroční zprávy o své činnosti, které mohou obsahovat seznam druhů ohlášených porušení a druhů opatření přijatých podle čl. 58 odst. 2. Tyto zprávy předkládá vnitrostátnímu parlamentu, vládě a dalším orgánům určeným právem dotčeného členského státu. Dále je zpřístupní veřejnosti, Komisi a sboru.
KAPITOLA VII
Spolupráce a jednotnost
Oddíl 1
Spolupráce
Článek 60
Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady
1. Vedoucí dozorový úřad spolupracuje s ostatními dotčenými dozorovými úřady v souladu s tímto článkem ve snaze dosáhnout konsensu. Vedoucí dozorový úřad a dotčené dozorové úřady si vzájemně vyměňují veškeré relevantní informace.
2. Vedoucí dozorový úřad může kdykoliv požádat další dotčené dozorové úřady o poskytnutí vzájemné pomoci podle článku 61 a může provádět společné postupy podle článku 62, zejména pokud jde o vedení šetření nebo monitorování provádění opatření týkajících se správce či zpracovatele usazených v jiném členském státě.
3. Vedoucí dozorový úřad neprodleně sdělí relevantní informace o dané záležitosti ostatním dotčeným dozorovým úřadům. Neprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska.
4. Pokud ve lhůtě čtyř týdnů kterýkoliv z ostatních dotčených dozorových úřadů poté, co byl v souladu s odstavcem 3 tohoto článku konzultován, vznese k návrhu rozhodnutí relevantní a odůvodněnou námitku, postoupí vedoucí dozorový úřad v případě, že relevantní a odůvodněnou námitku nesdílí nebo ji považuje za irelevantní či nedůvodnou, záležitost k řešení v rámci mechanismu jednotnosti uvedeného v článku 63.
5. Pokud má vedoucí dozorový úřad v úmyslu vznesenou relevantní a odůvodněnou námitku zohlednit, předloží ostatním dotčeným dozorovým úřadům revidovaný návrh rozhodnutí k vyjádření. Tento revidovaný návrh rozhodnutí podléhá postupu uvedenému v odstavci 4 v rámci dvoutýdenní lhůty.
6. Pokud ve lhůtě uvedené v odstavcích 4 a 5 nevznesl žádný z ostatních dotčených dozorových úřadů námitku proti návrhu rozhodnutí předloženému vedoucím dozorovým úřadem, má se za to, že vedoucí dozorový úřad a dotčené dozorové úřady s tímto návrhem rozhodnutí souhlasí a toto rozhodnutí je pro ně závazné.
7. Vedoucí dozorový úřad dané rozhodnutí přijme, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele a o daném rozhodnutí včetně shrnutí relevantních skutečností a důvodů informuje ostatní dotčené dozorové úřady a sbor. Dozorový úřad, u nějž byla podána stížnost, informuje o daném rozhodnutí stěžovatele.
8. Odchylně od odstavce 7, pokud je stížnost odmítnuta nebo zamítnuta, přijme rozhodnutí dozorový úřad, u nějž byla stížnost podána; tento úřad oznámí rozhodnutí stěžovateli a informuje o něm správce.
9. Pokud se vedoucí dozorový úřad a dotčené dozorové úřady shodnou na tom, že určité části stížnosti odmítnou nebo zamítnou a že budou reagovat na jiné části této stížnosti, přijme se pro každou z těchto částí dané věci samostatné rozhodnutí. Vedoucí dozorový úřad přijme rozhodnutí o části týkající se úkonů souvisejících se správcem, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele na území svého členského státu a informuje o něm stěžovatele, zatímco dozorový úřad stěžovatele přijme rozhodnutí o části týkající se odmítnutí či zamítnutí této stížnosti, oznámí je danému stěžovateli a informuje o něm správce nebo zpracovatele.
10. Poté, co mu bylo oznámeno rozhodnutí vedoucího dozorového úřadu podle odstavců 7 a 9, přijme správce nebo zpracovatel opatření nezbytná k zajištění souladu s daným rozhodnutím, pokud jde o činnosti zpracování prováděné v souvislosti se všemi jeho provozovnami v Unii. Správce nebo zpracovatel oznámí opatření přijatá k zajištění souladu s daným rozhodnutí vedoucímu dozorovému úřadu, který o tom informuje ostatní dotčené dozorové úřady.
11. Pokud má za výjimečných okolností dotčený dozorový úřad důvody se domnívat, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, použije se postup pro naléhavé případy podle článku 66.
12. Vedoucí dozorový úřad a ostatní dotčené dozorové úřady si vzájemně poskytují informace požadované podle tohoto článku, a to v elektronické formě za použití standardizovaného formátu.
Článek 61
Vzájemná pomoc
1. Dozorové úřady si vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování tohoto nařízení a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o předchozí povolení a konzultace, inspekce a šetření.
2. Každý dozorový úřad přijme všechna vhodná opatření, která jsou požadována v odpověď na žádost jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení této žádosti. K těmto opatřením může patřit zejména předání relevantních informací o průběhu šetření.
3. Žádost o pomoc musí obsahovat všechny potřebné informace včetně svého účelu a důvodů. Vyměňované informace se použijí pouze pro účely, pro které byly vyžádány.
4. Dožádaný dozorový úřad nesmí odmítnout žádosti vyhovět, ledaže:
a) | není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo |
b) | vyhověním žádosti by došlo k porušení tohoto nařízení nebo práva Unie či členského státu, které se na dožádaný dozorový úřad vztahuje. |
5. Dožádaný dozorový úřad informuje žádající dozorový úřad o výsledcích nebo případně o pokroku či opatřeních, jež byla přijata k vyřízení žádosti. Jestliže dožádaný dozorový úřad žádosti nevyhoví na základě odstavce 4, uvede důvody svého rozhodnutí.
6. Dožádané dozorové úřady poskytují informace, které po nich žádají jiné dozorové úřady, zpravidla v elektronické formě za použití standardizovaného formátu.
7. Dožádané dozorové úřady za žádné úkony, které provedou na základě žádosti o vzájemnou pomoc, neúčtují poplatky. Ve výjimečných případech se mohou dozorové úřady dohodnout na pravidlech pro vzájemné odškodnění za zvláštní výdaje vyplývající z poskytnutí vzájemné pomoci.
8. Pokud dozorový úřad neposkytne informace uvedené v odstavci 5 tohoto článku do jednoho měsíce od obdržení žádosti jiného dozorového úřadu, může dožadující dozorový úřad přijmout na území svého členského státu předběžné opatření podle čl. 55 odst. 1. V takovém případě se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou, což vyžaduje přijetí naléhavého závazného rozhodnutí sboru podle čl. 66 odst. 2.
9. Komise může prostřednictvím prováděcích aktů určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak má probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem, zejména pak může určit standardizovaný formát uvedený v odstavci 6 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
Článek 62
Společné postupy dozorových úřadů
1. Dozorové úřady podle potřeby provádějí společné postupy, včetně společných šetření a společných donucovacích opatření, do nichž jsou zapojeni členové nebo pracovníci dozorových úřadů z jiných členských států.
2. Pokud má správce nebo zpracovatel provozovny v několika členských státech, nebo pokud je pravděpodobné, že operacemi zpracování bude podstatně dotčen významný počet subjektů údajů ve více než jednom členském státě, má dozorový úřad každého z těchto členských států právo účastnit se společných postupů. Dozorový úřad příslušný podle čl. 56 odst. 1 nebo 4 vyzve dozorový úřad každého z těchto členských států k účasti na těchto společných postupech a na žádost některého dozorového úřadu o účast bez odkladu odpoví.
3. Dozorový úřad může v souladu s právem členského státu a s povolením vysílajícího dozorového úřadu svěřovat pravomoci včetně vyšetřovacích pravomocí členům nebo pracovníkům vysílajícího dozorového úřadu zapojeným do společných postupů, nebo pokud to umožňuje právo členského státu hostitelského dozorového úřadu, povolit členům nebo pracovníkům vysílajícího dozorového úřadu, aby vykonávali své vyšetřovací pravomoci v souladu s právem členského státu vysílajícího dozorového úřadu. Tyto vyšetřovací pravomoci mohou být vykonávány pouze pod vedením a za přítomnosti členů nebo pracovníků hostitelského dozorového úřadu. Na členy nebo pracovníky vysílajícího dozorového úřadu se vztahuje právo členského státu hostitelského dozorového úřadu.
4. Pokud pracovníci vysílajícího dozorového úřadu působí v souladu s odstavcem 1 v jiném členském státě, přijímá členský stát hostitelského dozorového úřadu odpovědnost za jejich jednání, včetně odpovědnosti za škody, které tito pracovníci během svých úkonů způsobí, v souladu s právem členského státu, na jehož území působí.
5. Členský stát, na jehož území byla škoda způsobena, nahradí tuto škodu za stejných podmínek, jaké se vztahují na škody způsobené jeho vlastními pracovníky. Členský stát vysílajícího dozorového úřadu, jehož pracovníci způsobí škodu jakékoli osobě na území jiného členského státu, nahradí tomuto jinému členskému státu v plné výši částky, které tento stát jménem dotčených pracovníků vyplatil oprávněným osobám.
6. V případě uvedeném v odstavci 1 a s výjimkou odstavce 5 se každý členský stát zřekne požadavků vůči jinému členskému státu na náhradu škody uvedené v odstavci 4, aniž jsou dotčena jeho práva vůči třetím stranám.
7. Jestliže je plánován společný postup a některý dozorový úřad nesplní do jednoho měsíce povinnost stanovenou v odst. 2 tohoto článku druhé větě, mohou ostatní dozorové úřady přijmout na území svého členského státu v souladu s článkem 55 předběžné opatření. V takovém případě se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou, což vyžaduje přijetí naléhavého stanoviska nebo naléhavého závazného rozhodnutí sboru podle čl. 66 odst. 2.
Oddíl 2
Jednotnost
Článek 63
Mechanismus jednotnosti
S cílem přispět k jednotnému uplatňování tohoto nařízení v celé Unii spolupracují dozorové úřady mezi sebou navzájem a ve vhodných případech s Komisí prostřednictvím mechanismu jednotnosti stanoveného v tomto oddíle.
Článek 64
Stanovisko sboru
1. Sbor vydá stanovisko, hodlá-li příslušný dozorový úřad přijmout některé z níže uvedených opatření. Za tímto účelem příslušný dozorový úřad oznámí sboru návrh rozhodnutí, pokud:
a) | má za cíl přijmout seznam operací zpracování podléhajících požadavku na posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4; |
b) | se týká záležitosti podle čl. 40 odst. 7, zda je návrh kodexu chování nebo změna či rozšíření kodexu chování v souladu s tímto nařízením; |
c) | má za cíl schválit kritéria pro akreditaci subjektu podle čl. 41 odst. 3 nebo subjektu pro vydávání osvědčení podle čl. 43 odst. 3; |
d) | má za cíl stanovit standardní doložky o ochraně údajů podle čl. 46 odst. 2 písm. d) a čl. 28 odst. 8; |
e) | má za cíl schválit smluvní doložky podle čl. 46 odst. 3 písm. a); nebo |
f) | má za cíl schválit závazná podniková pravidla ve smyslu článku 47. |
2. Kterýkoli dozorový úřad, předseda sboru nebo Komise mohou požádat, aby sbor posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 nebo se společnými postupy podle článku 62.
3. V případech uvedených v odstavcích 1 a 2 vydá sbor stanovisko k záležitosti, která mu byla předložena, pokud již stanovisko ke stejné záležitosti nevydal. Toto stanovisko se přijme do osmi týdnů prostou většinou členů sboru. Tato lhůta může být prodloužena o dalších šest týdnů s ohledem na složitost dané záležitosti. Pokud jde o návrh rozhodnutí uvedený v odstavci 1 zaslaný členům sboru v souladu s odstavcem 5, má se za to, že členové, kteří v přiměřené lhůtě stanovené předsedou nevznesli námitky, s návrhem rozhodnutí souhlasí.
4. Dozorové úřady a Komise elektronickými prostředky a za použití standardizovaného formátu bez zbytečného odkladu oznamují sboru veškeré relevantní informace, případně včetně shrnutí skutečností, návrhu rozhodnutí, důvodů, pro které je nezbytné takové opatření přijmout, a stanoviska dalších dotčených dozorových úřadů.
5. Předseda sboru bez zbytečného odkladu elektronickými prostředky sděluje:
a) | členům sboru a Komisi veškeré relevantní informace, které byly radě pro ochranu údajů sděleny, a to za použití standardizovaného formátu. V nezbytných případech poskytne sekretariát sboru překlady relevantních informací; a |
b) | dozorovému úřadu uvedenému v odstavcích 1 a 2 a Komisi stanovisko, které zveřejní. |
6. Během lhůty uvedené v odstavci 3 nepřijme příslušný dozorový úřad svůj návrh rozhodnutí podle odstavce 1.
7. Dozorový úřad uvedený v odstavci 1 stanovisko sboru co nejvíce zohlední a do dvou týdnů po obdržení stanoviska v elektronické formě sdělí předsedovi sboru, zda svůj návrh rozhodnutí zachová nebo jej změní, a rozhodne-li se je změnit, zašle mu pozměněný návrh rozhodnutí za použití standardizovaného formátu.
8. Pokud ve lhůtě uvedené v odstavci 7 tohoto článku informuje dotčený dozorový úřad předsedu sboru o tom, že nemá v úmyslu se stanoviskem sboru řídit, ať již zcela nebo částečně, a uvede relevantní důvody, použije se čl. 65 odst. 1.
Článek 65
Řešení sporů sborem
1. S cílem zajistit, aby toto nařízení bylo v jednotlivých případech správně a důsledně uplatňováno, přijme sbor závazné rozhodnutí v těchto případech:
a) | pokud v případě uvedeném v čl. 60 odst. 4 vznesl dotčený dozorový úřad relevantní a odůvodněnou námitku vůči návrhu rozhodnutí vedoucího dozorového úřadu nebo pokud vedoucí dozorový úřad zamítl tuto námitku jako irelevantní či nedůvodnou. Závazné rozhodnutí se týká všech záležitostí, které jsou předmětem relevantní a odůvodněné námitky, zejména dojde-li k porušení tohoto nařízení; |
b) | pokud existují protikladné názory ohledně toho, který dotčený dozorový úřad je příslušný pro hlavní provozovnu; |
c) | pokud v případech uvedených v čl. 64 odst. 1 příslušný dozorový úřad nepožádá o stanovisko sboru nebo pokud se tento úřad neřídí stanoviskem sboru vydaným podle článku 64. V takovém případě může danou záležitost ohlásit sboru kterýkoliv dotčený dozorový úřad nebo Komise. |
2. Rozhodnutí uvedené v odstavci 1 přijmou do jednoho měsíce od postoupení dané záležitosti členové sboru dvoutřetinovou většinou. Tato lhůta může být z důvodu složitosti dané záležitosti prodloužena o další měsíc. Rozhodnutí uvedené v odstavci 1 musí být odůvodněno a určeno vedoucímu dozorovému úřadu a všem dotčeným dozorovým úřadům a je pro ně závazné.
3. Pokud sbor nemohl rozhodnutí přijmout ve lhůtách uvedených v odstavci 2, přijme své rozhodnutí do dvou týdnů po uplynutí druhého měsíce uvedeného v odstavci 2 prostou většinou svých členů. Pokud členové sboru hlasují nerozhodně, rozhodnutí se přijme na základě hlasu jeho předsedy.
4. Během lhůt uvedených v odstavcích 2 a 3 nepřijmou dotčené dozorové úřady žádné rozhodnutí o záležitosti předložené sboru podle odstavce 1.
5. Předseda sboru bez zbytečného odkladu oznámí rozhodnutí uvedené v odstavci 1 dotčeným dozorovým úřadům. Uvědomí o tom Komisi. Rozhodnutí se neprodleně zveřejní na internetových stránkách sboru poté, co dozorový úřad oznámil konečné rozhodnutí podle odstavce 6.
6. Vedoucí dozorový úřad nebo dozorový úřad, u nějž byla stížnost podána, přijme své konečné rozhodnutí na základě rozhodnutí uvedeného v odstavci 1 tohoto článku bez zbytečného odkladu a nejpozději do jednoho měsíce poté, co sbor oznámil své rozhodnutí. Vedoucí dozorový úřad nebo dozorový úřad, u nějž byla stížnost podána, informuje sbor o dni oznámení svého konečného rozhodnutí správci nebo zpracovateli a subjektu údajů. Konečné rozhodnutí dotčených dozorových úřadů se přijme podle čl. 60 odst. 7, 8 a 9. Konečné rozhodnutí musí odkazovat na rozhodnutí uvedené v odstavci 1 tohoto článku a uvádět, že rozhodnutí zmíněné v uvedeném odstavci bude zveřejněno na internetových stránkách sboru v souladu s odstavcem 5 tohoto článku. Ke konečnému rozhodnutí se přiloží rozhodnutí uvedené v odstavci 1 tohoto článku.
Článek 66
Postup pro naléhavé případy
1. Dotčený dozorový úřad se za výjimečných okolností, kdy se domnívá, že je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, může odchýlit od mechanismu jednotnosti uvedeného v článcích 63, 64 a 65 nebo od postupu uvedeného v článku 60 a okamžitě přijmout předběžná opatření s právními účinky na svém území a se stanovenou dobou platnosti, která nepřesáhne tři měsíce. Tento dozorový úřad neprodleně oznámí tato opatření a důvody pro jejich přijetí ostatním dotčeným dozorovým úřadům, sboru a Komisi.
2. Pokud některý dozorový úřad přijal opatření podle odstavce 1 a domnívá se, že je třeba naléhavě přijmout konečná opatření, může požádat sbor o naléhavé stanovisko nebo naléhavé závazné rozhodnutí, přičemž svou žádost o takové stanovisko nebo rozhodnutí odůvodní.
3. O naléhavé stanovisko nebo o naléhavé závazné rozhodnutí může sbor požádat kterýkoli dozorový úřad, jestliže příslušný dozorový úřad nepřijal vhodné opatření v situaci, kdy je třeba naléhavě jednat v zájmu ochrany práv a svobod subjektů údajů, přičemž svou žádost o takové stanovisko či rozhodnutí odůvodní, stejně jako naléhavou potřebu jednat.
4. Odchylně od čl. 64 odst. 3 a čl. 65 odst. 2 se naléhavé stanovisko nebo naléhavé závazné rozhodnutí uvedená v odstavcích 2 a 3 tohoto článku přijímají do dvou týdnů prostou většinou členů sboru.
Článek 67
Výměna informací
Komise může přijímat prováděcí akty s obecnou působností za účelem určení toho, jak bude probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem, zejména určení standardizovaného formátu uvedeného v článku 64.
Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.
Oddíl 3
Evropský sbor pro ochranu osobních údajů
Článek 68
Evropský sbor pro ochranu osobních údajů
1. Zřizuje se Evropský sbor pro ochranu osobních údajů (dále jen „sbor“) jako subjekt Unie s právní subjektivitou.
2. Sbor zastupuje jeho předseda.
3. Sbor tvoří vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů nebo jejich zástupci.
4. Pokud je v některém členském státě za monitorování toho, zda jsou uplatňována ustanovení tohoto nařízení, odpovědný více než jeden dozorový úřad, je v souladu s právem tohoto členského státu jmenován společný zástupce.
5. Komise má právo účastnit se činností a schůzek sboru, aniž by měla hlasovací právo. Komise jmenuje svého zástupce. Předseda sboru informuje Komisi o činnostech sboru.
6. V případech uvedených v článku 65 má evropský inspektor ochrany údajů hlasovací právo pouze pro rozhodnutí týkající se zásad a pravidel použitelných pro orgány, instituce a jiné subjekty Unie, jež v podstatě odpovídají požadavkům tohoto nařízení.
Článek 69
Nezávislost
1. Sbor jedná při plnění svých úkolů nebo výkonu svých pravomocí podle článků 70 a 71 nezávisle.
2. Aniž jsou dotčeny žádosti Komise uvedené v čl. 70 odst. 1 písm. b) a odst. 2, sbor při plnění svých úkolů nebo výkonu svých pravomocí od nikoho nevyžaduje ani nepřijímá pokyny.
Článek 70
Úkoly sboru
1. Sbor zajišťuje jednotné uplatňování tohoto nařízení. Za tímto účelem sbor z vlastního podnětu nebo případně na žádost Komise zejména:
a) | monitoruje a zajišťuje řádné uplatňování tohoto nařízení v případech uvedených v článcích 64 a 65, aniž jsou dotčeny úkoly vnitrostátních dozorových úřadů; |
b) | poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení; |
c) | poskytuje poradenství Komisi ohledně formy a postupů výměny informací mezi správci, zpracovateli a dozorovými úřady pro závazná podniková pravidla; |
d) | vydává pokyny, doporučení a osvědčené postupy týkající se postupů pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v čl. 17 odst. 2; |
e) | prošetřuje z vlastního podnětu, na žádost některého ze svých členů nebo na žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování tohoto nařízení; |
f) | vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a podmínek, které mají platit pro rozhodnutí založená na profilování podle čl. 22 odst. 2; |
g) | vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 33 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni porušení ohlásit; |
h) | vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem b) tohoto odstavce, pokud jde o okolnosti, za jakých je pravděpodobné, že porušení zabezpečení osobních údajů bude mít z následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 34 odst. 1; |
i) | vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě závazných podnikových pravidel, kterými se řídí správci, a závazných podnikových pravidel, kterými se řídí zpracovatelé, a dalších požadavků potřebných k zajištění ochrany osobních údajů dotčených subjektů údajů uvedených v článku 47; |
j) | vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě čl. 49 odst. 1; |
k) | vypracovává pokyny pro dozorové úřady o uplatňování opatření uvedených v čl. 58 odst. 1, 2 a 3 a stanoví správní pokuty podle článku 83; |
l) | přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenech e) a f); |
m) | vydává pokyny, doporučení a osvědčené postupy v souladu písmenem e) tohoto odstavce pro zavedení společných postupů pro podávání zpráv fyzickými osobami v případě porušení tohoto nařízení podle čl. 54 odst. 2; |
n) | podporuje vypracování kodexů chování a zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů podle článků 40 a 42; |
o) | provádí akreditaci subjektů pro vydávání osvědčení a její pravidelný přezkum podle článku 43 a provozuje veřejný registr akreditovaných subjektů podle čl. 43 odst. 6 a akreditovaných správců či zpracovatelů usazených ve třetích zemích podle čl. 42 odst. 7; |
p) | stanoví požadavky uvedené v čl. 43 odst. 3 pro účely akreditace subjektů pro vydávání osvědčení podle článku 42; |
q) | poskytuje Komisi stanovisko k požadavkům na vydání osvědčení uvedeným v čl. 43 odst. 8; |
r) | poskytuje Komisi stanovisko k ikonám uvedeným v čl. 12 odst. 7; |
s) | poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo v mezinárodní organizaci, i pro posouzení, zda určitá třetí země, určité území nebo jedno čí více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany. Za tímto účelem poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země s ohledem na tuto třetí zemi, území či konkrétní odvětví nebo s mezinárodní organizací; |
t) | vydává stanoviska k návrhům rozhodnutí dozorových úřadů podle mechanismu jednotnosti uvedeného v čl. 64 odst. 1, k záležitostem předloženým podle čl. 64 odst. 2 a vydává závazná rozhodnutí podle článku 65, včetně v případech uvedených v článku 66; |
u) | podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady; |
v) | podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady a případně i s dozorovými úřady třetích zemí nebo s mezinárodními organizacemi; |
w) | podporuje výměnu znalostí a dokumentů o právních předpisech v oblasti ochrany údajů a zavedených postupech s dozorovými úřady pro ochranu údajů po celém světě; |
x) | vydává stanoviska ke kodexům chování vypracovaným na úrovni Unie podle čl. 40 odst. 9); a |
y) | provozuje veřejně přístupný elektronický registr rozhodnutí přijatých dozorovými úřady a soudy k otázkám řešeným v rámci mechanismu jednotnosti. |
2. Jestliže Komise žádá sbor o poradenství, může uvést určitou lhůtu s přihlédnutím k naléhavosti dané záležitosti.
3. Sbor zasílá svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v článku 93 a zveřejňuje je.
4. Sbor ve vhodných případech konzultuje zúčastněné strany a poskytne jim možnost se v rozumné lhůtě vyjádřit. Sbor výsledky postupu konzultace veřejně zpřístupní, aniž je tím dotčen článek 76.
Článek 71
Zprávy
1. Sbor vypracovává výroční zprávy, pokud jde o ochranu fyzických osob v souvislosti se zpracováním v Unii, případně ve třetích zemích a v mezinárodních organizacích. Zprávy se zveřejňují a předávají Evropskému parlamentu, Radě a Komisi.
2. Výroční zprávy obsahují posouzení praktického uplatňování pokynů, doporučení a osvědčených postupů uvedených v čl. 70 odst. 1 písm. l), jakož i závazných rozhodnutí uvedených v článku 65.
Článek 72
Postup
1. Sbor přijímá rozhodnutí prostou většinou svých členů, pokud v tomto nařízení není stanoveno jinak.
2. Sbor přijme dvoutřetinovou většinou svých členů svůj jednací řád a připraví si vlastní provozní opatření.
Článek 73
Předseda
1. Sbor si prostou většinou zvolí z řad svých členů předsedu a dva místopředsedy.
2. Funkční období předsedy a místopředsedů trvá pět let a lze je jednou prodloužit.
Článek 74
Úkoly předsedy
1. Předseda plní následující úkoly:
a) | svolává zasedání sboru a připravuje pro ně pořad jednání; |
b) | oznamuje rozhodnutí přijatá sborem podle článku 65 vedoucímu dozorovému úřadu a dotčeným dozorovým úřadům; |
c) | zajišťuje včasné plnění úkolů sborem, zejména v souvislosti s mechanismem jednotnosti uvedeným v článku 63. |
2. Sbor stanoví ve svém jednacím řádu rozdělení úkolů mezi předsedu a místopředsedy.
Článek 75
Sekretariát
1. Sbor má k dispozici sekretariát, jehož služby poskytuje evropský inspektor ochrany údajů.
2. Sekretariát plní své úkoly výlučně v souladu s pokyny předsedy sboru.
3. Na pracovníky evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením se vztahují jiné hierarchické linie než na pracovníky podílející se na plnění úkolů svěřených evropskému inspektorovi ochrany údajů.
4. Sbor s evropským inspektorem ochrany údajů v případě potřeby vypracují a zveřejní memorandum o porozumění, jímž se provádí tento článek a vymezují podmínky jejich spolupráce a jenž je použitelný pro pracovníky evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením.
5. Sekretariát zajišťuje sboru analytickou, administrativní a logistickou podporu.
6. Sekretariát odpovídá zejména za:
a) | každodenní fungování sboru; |
b) | komunikaci mezi členy sboru, jeho předsedou a Komisí; |
c) | komunikaci s jinými institucemi a veřejností; |
d) | využívání elektronických prostředků k interní a externí komunikaci; |
e) | překlady relevantních informací; |
f) | přípravu zasedání sboru a navazující opatření; |
g) | přípravu, navrhování a zveřejňování stanovisek, rozhodnutí o urovnání sporů mezi dozorovými úřady a jiných textů přijímaných sborem. |
Článek 76
Důvěrnost
1. Pokládá-li to sbor za nezbytné, jsou jeho jednání důvěrná, jak je stanoveno v jednacím řádu sboru.
2. Přístup k dokumentům předkládaným členům sboru, odborníkům a zástupcům třetích stran se řídí nařízením Evropského parlamentu a Rady (ES) č. 1049/2001 (21).
KAPITOLA VIII
Právní ochrana, odpovědnost a sankce
Článek 77
Právo podat stížnost u dozorového úřadu
1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.
2. Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.
Článek 78
Právo na účinnou soudní ochranu vůči dozorovému úřadu
1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.
2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.
3. Řízení proti dozorovému úřadu se zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.
4. Je-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí sboru v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu.
Článek 79
Právo na účinnou soudní ochranu vůči správci nebo zpracovateli
1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.
2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.
Článek 80
Zastupování subjektů údajů
1. Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.
2. Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.
Článek 81
Přerušení řízení
1. Má-li příslušný soud členského státu informace o tom, že u soudu jiného členského státu probíhá řízení týkající se stejného předmětu, pokud jde o zpracování prováděné týmž správcem nebo zpracovatelem, kontaktuje daný soud jiného členského státu, aby existenci takového řízení ověřil.
2. Probíhá-li u soudu jiného členského státu řízení týkající se stejného předmětu, pokud jde o zpracování prováděné týmž správcem nebo zpracovatelem, kterýkoliv z příslušných soudů, u nichž nebylo řízení zahájeno jako první, může své řízení přerušit.
3. Pokud toto řízení probíhá v prvním stupni, kterýkoliv ze soudů, u nichž nebylo řízení zahájeno jako první, se může na návrh jedné ze stran také prohlásit za nepříslušný, je-li soud, u něhož bylo řízení zahájeno jako první, příslušný pro daná řízení a spojení těchto řízení je podle práva státu tohoto soudu přípustné.
Článek 82
Právo na náhradu újmy a odpovědnost
1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.
2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.
3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.
4. Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.
5. Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.
6. Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva členského státu uvedeného v čl. 79 odst. 2.
Článek 83
Obecné podmínky pro ukládání správních pokut
1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.
2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:
a) | povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena; |
b) | zda k porušení došlo úmyslně nebo z nedbalosti; |
c) | kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů; |
d) | míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32; |
e) | veškerá relevantní předchozí porušení správcem či zpracovatelem; |
f) | míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků; |
g) | kategorie osobních údajů dotčené daným porušením; |
h) | způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře; |
i) | v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření; |
j) | dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 a |
k) | jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení. |
3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.
4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
a) | povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43; |
b) | povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43; |
c) | povinnosti subjektu pro vydávání osvědčení podle čl. 41 odst. 4. |
5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
a) | základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9; |
b) | práva subjektů údajů podle článků 12 až 22; |
c) | předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49; |
d) | jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX; |
e) | nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1. |
6. Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.
7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.
8. Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.
9. Neumožňuje-li právo členského státu uložení správních pokut, může se použít tento článek tak, aby podnět k uložení pokuty dal příslušný dozorový úřad a aby pokuta byla uložena příslušnými vnitrostátními soudy, a současně je třeba zajistit, aby tyto prostředky právní ochrany byly účinné a aby jejich účinek byl rovnocenný se správními pokutami, jež ukládají dozorové úřady. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Tyto členské státy oznámí Komisi do 25. května 2018 příslušná ustanovení svých právních předpisů, která přijmou podle tohoto odstavce, a bez prodlení jakékoliv následné novely nebo změny týkající se těchto ustanovení.
Článek 84
Sankce
1. Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.
2. Každý členský stát oznámí Komisi do 25. května 2018 právní předpisy, které přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny týkající se těchto ustanovení.
KAPITOLA IX
Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování
Článek 85
Zpracování a svoboda projevu a informací
1. Členské státy uvedou prostřednictvím právních předpisů právo na ochranu osobních údajů podle tohoto nařízení do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu.
2. Pro zpracování pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu členské státy stanoví odchylky a výjimky z kapitoly II (zásady), kapitoly III (práva subjektu údajů), kapitoly IV (správce a zpracovatel), kapitoly V (předávání osobních údajů do třetí země nebo mezinárodní organizaci), kapitoly VI (nezávislé dozorové úřady), kapitoly VII (spolupráce a jednotnost) a kapitoly IX (zvláštní situace, při nichž dochází ke zpracování osobních údajů), pokud je to nutné k uvedení práva na ochranu osobních údajů do souladu se svobodou projevu a informací.
3. Každý členský stát ohlásí Komisi právní ustanovení, která přijme podle odstavce 2, a bez prodlení jakékoliv následné novely nebo změny týkající se těchto ustanovení.
Článek 86
Zpracování a přístup veřejnosti k úředním dokumentům
Osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, může tento orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů podle tohoto nařízení.
Článek 87
Zpracování národních identifikačních čísel
Členské státy mohou dále stanovit zvláštní podmínky pro zpracování národních identifikačních čísel nebo jakýchkoliv jiných všeobecně uplatňovaných identifikátorů. V takovém případě se národní identifikační číslo nebo jakýkoliv jiný všeobecně uplatňovaný identifikátor použije pouze v závislosti na vhodných zárukách práv a svobod daného subjektu údajů podle tohoto nařízení.
Článek 88
Zpracování v souvislosti se zaměstnáním
1. Členské státy mohou právním předpisem nebo kolektivními smlouvami stanovit konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.
2. Tato pravidla zahrnují zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů, především pokud jde o transparentnost zpracování, předávání osobních údajů v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a systémy monitorování na pracovišti.
3. Každý členský stát oznámí Komisi do 25. května 2018 právní ustanovení, která přijme podle odstavce 1, a bez zbytečného odkladu jakékoliv následné změny týkající se těchto ustanovení.
Článek 89
Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely
1. Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů. Tyto záruky zajistí, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Tato opatření mohou zahrnovat pseudonymizaci za podmínky, že lze tímto způsobem splnit sledované účely. Pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem.
2. Jsou-li osobní údaje zpracovány pro účely vědeckého či historického výzkumu nebo pro statistické účely, může právo Unie nebo členského státu stanovit odchylky od práv uvedených v článcích 15, 16, 18 a 21, s výhradou podmínek a záruk uvedených v odstavci 1 tohoto článku, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.
3. Jsou-li osobní údaje zpracovány pro účely archivace ve veřejném zájmu, může právo Unie nebo členského státu stanovit odchylky od práv uvedených v článcích 15, 16, 18, 19, 20 a 21, s výhradou podmínek a záruk uvedených v odstavci 1 tohoto článku, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.
4. Pokud typ zpracování uvedený v odstavcích 2 a 3 slouží zároveň k jinému účelu, povolené odchylky se vztahují pouze na zpracování pro účely uvedené ve zmíněných odstavcích.
Článek 90
Povinnost mlčenlivosti
1. Je-li to nutné a přiměřené pro soulad práva na ochranu osobních údajů s povinností mlčenlivosti, mohou členské státy přijmout zvláštní pravidla, aby stanovily pravomoci dozorových úřadů podle čl. 58 odst. 1 písm. e) a f) ve vztahu ke správcům nebo zpracovatelům, jež podle práva Unie nebo členského státu anebo pravidel stanovených příslušnými orgány členských států podléhají povinnosti zachovávat služební tajemství nebo jiným rovnocenným povinnostem mlčenlivosti. Tato pravidla platí pouze ve vztahu k osobním údajům, které správce nebo zpracovatel obdržel nebo získal při činnosti podléhající této povinnosti mlčenlivosti.
2. Každý členský stát oznámí Komisi do 25. května 2018 pravidla, která přijme podle odstavce 1, a bez odkladu jakékoliv následné změny týkající se těchto ustanovení.
Článek 91
Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími
1. Jestliže církve a náboženská sdružení nebo společenství v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují komplexní pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením.
2. Na církve a náboženská sdružení uplatňující komplexní pravidla v souladu s odstavcem 1 tohoto článku dohlíží nezávislý dozorový úřad, který může být zvláštní, za předpokladu, že splňuje podmínky stanovené v kapitole VI.
KAPITOLA X
Akty v přenesené pravomoci a prováděcí akty
Článek 92
Výkon přenesené pravomoci
1. Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.
2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 12 odst. 8 a čl. 43 odst. 8 je svěřena Komisi na dobu neurčitou počínaje dnem 24. května 2016.
3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 12 odst. 8 a čl. 43 odst. 8 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.
4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.
5. Akt v přenesené pravomoci přijatý podle čl. 12 odst. 8 a čl. 43 odst. 8 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.
Článek 93
Postupy projednávání ve výboru
1. Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.
2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.
3. Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.
KAPITOLA XI
Závěrečná ustanovení
Článek 94
Zrušení směrnice 95/46/ES
1. Směrnice 95/46/ES se zrušuje s účinkem ode dne 25. května 2018.
2. Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice 95/46/ES se považují za odkazy na Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením.
Článek 95
Vztah ke směrnici 2002/58/ES
Toto nařízení neukládá žádné další povinnosti fyzickým nebo právnickým osobám, pokud jde o zpracování ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích v Unii, co se týče záležitostí, u nichž se na ně vztahují konkrétní povinnosti s týmž cílem stanovené ve směrnici 2002/58/ES.
Článek 96
Vztah k dříve uzavřeným dohodám
Mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, které byly uzavřeny členskými státy přede dnem 24. května 2016 a jsou v souladu s právem Unie použitelným před tímto dnem, zůstávají v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.
Článek 97
Zprávy Komise
1. Do 25. května 2020 a poté každé čtyři roky předloží Komise Evropskému parlamentu a Radě zprávu o hodnocení a přezkumu tohoto nařízení.
2. V souvislosti s hodnoceními a přezkumy uvedenými v odstavci 1 Komise přezkoumá zejména uplatňování a fungování:
a) | kapitoly V o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, se zvláštním zřetelem na rozhodnutí přijatá podle čl. 45 odst. 3 tohoto nařízení a rozhodnutí přijatá podle čl. 25 odst. 6 směrnice 95/46/ES; |
b) | kapitoly VII o spolupráci a jednotnosti. |
3. Pro účel odstavce 1 může Komise požádat členské státy a dozorové úřady o informace.
4. Při provádění hodnocení a přezkumů podle odstavců 1 a 2, vezme Komise v úvahu postoje a zjištění Evropského parlamentu, Rady a dalších relevantních subjektů nebo zdrojů.
5. Komise v případě potřeby předloží návrhy na změnu tohoto nařízení, zvláště s přihlédnutím k vývoji informačních technologií a dosaženému pokroku v informační společnosti.
Článek 98
Přezkum jiných právních aktů Unie v oblasti ochrany údajů
Bude-li to vhodné, předloží Komise legislativní návrhy s cílem změnit jiné právní akty Unie v oblasti ochrany osobních údajů, a zajistit tak jednotnou a soudržnou ochranu fyzických osob v souvislosti se zpracováním osobních údajů. Jedná se zejména o pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a pravidla týkající se volného pohybu těchto údajů.
Článek 99
Vstup v platnost a použitelnost
1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Toto nařízení se použije ode dne 25. května 2018.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 27. dubna 2016.
Za Evropský parlament
předseda
M. SCHULZ
Za Radu
předsedkyně
J.A. HENNIS-PLASSCHAERT
(1) Úř. věst. C 229, 31.7.2012, s. 90.
(2) Úř. věst. C 391, 18.12.2012, s. 127.
(3) Postoj Evropského parlamentu ze dne 12. března 2014 (dosud nezveřejněný v Úředním věstníku) a postoj Rady v prvním čtení ze dne 8. dubna 2016 (dosud nezveřejněný v Úředním věstníku). Postoj Evropského parlamentu ze dne 14. dubna 2016.
(4) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
(5) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků (C(2003) 1422) (Úř. věst. L 124, 20.5.2003, s. 36).
(6) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).
(7) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (viz strana 89 v tomto čísle Úředního věstníku).
(8) Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu) (Úř. věst. L 178, 17.7.2000, s. 1).
(9) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).
(10) Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. L 95, 21.4.1993, s. 29).
(11) Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci (Úř. věst. L 354, 31.12.2008, s. 70).
(12) Nařízení Evropského parlamentu a Rady (EU) č 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).
(13) Nařízení Evropského parlamentu a Rady (EU) č. 1215/2012 ze dne 12. prosince 2012 o příslušnosti a uznávání a výkonu soudních rozhodnutí v občanských a obchodních věcech (Úř. věst. L 351, 20.12.2012, s. 1).
(14) Směrnice Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru (Úř. věst. L 345, 31.12.2003, s. 90).
(15) Nařízení Evropského parlamentu a Rady (EU) č. 536/2014 ze dne 16. dubna 2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES (Úř. věst. L 158, 27.5.2014, s. 1).
(16) Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství (Úř. věst. L 87, 31.3.2009, s. 164).
(17) Úř. věst. C 192, 30.6.2012, s. 7.
(18) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).
(19) Směrnice Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti (Úř. věst. L 241, 17.9.2015, s. 1).
(20) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).
(21) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).
SMĚRNICE
4.5.2016 | CS | Úřední věstník Evropské unie | L 119/89 |
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Výboru regionů (1),
v souladu s řádným legislativním postupem (2),
vzhledem k těmto důvodům:
(1) | Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají. |
(2) | Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem této směrnice je přispět k dotvoření prostoru svobody, bezpečnosti a práva. |
(3) | Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro ochranu osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují využívat osobní údaje v nebývalém rozsahu pro účely provádění činností, jako jsou prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů. |
(4) | Volný pohyb osobních údajů mezi příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení v rámci Unie, a předávání těchto osobních údajů do třetích zemí a mezinárodním organizacím by měly být usnadněny při zajištění vysoké úrovně ochrany osobních údajů. Tento vývoj vyžaduje vybudování pevného a jednotnějšího rámce pro ochranu osobních údajů v Unii, jenž se bude opírat o důrazné vymáhání práva. |
(5) | Směrnice Evropského parlamentu a Rady 95/46/ES (3) se vztahuje na veškeré zpracování osobních údajů v členských státech jak ve veřejném, tak v soukromém sektoru. Nevztahuje se však na zpracování osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství, například činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. |
(6) | Rámcové rozhodnutí Rady 2008/977/SVV (4) se použije v oblastech justiční spolupráce v trestních věcech a policejní spolupráce. Oblast působnosti uvedeného rámcového rozhodnutí je omezena na zpracování osobních údajů předaných nebo zpřístupněných mezi členskými státy. |
(7) | Pro zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce má zásadní význam zajištění jednotné a vysoké úrovně ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států. Proto by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, ve všech členských státech rovnocenná. Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů v členských státech. |
(8) | Ustanovení čl. 16 odst. 2 Smlouvy o fungování EU zmocňuje Evropský parlament a Radu ke stanovení pravidel o ochraně fyzických osob při zpracovávání osobních údajů a pravidel o volném pohybu těchto údajů. |
(9) | Na tomto základě stanoví nařízení Evropského parlamentu a Rady (EU) 2016/679 (5) obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii. |
(10) | V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná. |
(11) | Je proto vhodné, aby byly tyto oblasti upraveny v samostatné směrnici, která stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, při respektování zvláštní povahy těchto činností. Tyto příslušné orgány mohou zahrnovat nejen orgány veřejné moci, jako jsou justiční orgány, policie nebo jiné donucovací orgány, ale také jakýkoli jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely této směrnice. Pokud takový orgán nebo subjekt zpracovává osobní údaje pro jiné účely než pro účely této směrnice, použije se nařízení (EU) 2016/679. Nařízení (EU) 2016/679 se proto použije v případech, kdy orgán nebo subjekt shromažďuje osobní údaje pro jiné účely a tyto osobní údaje dále zpracovává za účelem splnění právní povinnosti, která mu je uložena. Například finanční instituce uchovávají určité osobní údaje, které zpracovaly, pro účely vyšetřování, odhalování nebo stíhání a poskytují tyto osobní údaje pouze příslušným vnitrostátním orgánům ve zvláštních případech a v souladu s právem členského státu. Orgán nebo subjekt, který zpracovává osobní údaje pro tyto orgány v oblasti působnosti této směrnice, by měl být vázán smlouvou nebo jiným právním aktem, jakož i předpisy vztahujícími se na zpracovatele podle této směrnice, přičemž použití nařízení (EU) 2016/679 zůstává nedotčeno, pokud jde o zpracování osobních údajů prováděné zpracovatelem mimo oblast působnosti této směrnice. |
(12) | Činnosti policie nebo jiných donucovacích orgánů jsou zaměřeny především na prevenci, vyšetřování, odhalování či stíhání trestných činů, včetně policejní činnosti bez předchozí znalosti, zda určitá událost je nebo není trestným činem. Tyto činnosti mohou rovněž zahrnovat výkon pravomoci prostřednictvím donucovacích opatření, jako je činnost policie během demonstrací, významných sportovních událostí a nepokojů. Zahrnují rovněž udržování veřejného pořádku jako úkolu svěřeného policii nebo jiným donucovacím orgánům tam, kde je to nutné k ochraně před hrozbami pro veřejnou bezpečnost a pro základní zájmy společnosti chráněné právem, které by mohly vést k trestnému činu, a k předcházení těmto hrozbám. Členské státy mohou pověřit příslušné orgány i jinými úkoly, které nemusí být nutně prováděny za účelem prevence, vyšetřování, odhalování či stíhání trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do oblasti působnosti práva Unie, spadalo do oblasti působnosti nařízení (EU) 2016/679. |
(13) | Pojem trestného činu ve smyslu této směrnice by měl být autonomním pojmem unijního práva, jak jej vykládá Soudní dvůr Evropské unie (dále jen „Soudní dvůr“). |
(14) | Jelikož by se tato směrnice neměla vztahovat na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, neměly by být za činnosti spadající do oblasti působnosti této směrnice považovány činnosti týkající se národní bezpečnosti, činnosti agentur nebo jednotek zabývajících se otázkami národní bezpečnosti ani zpracování osobních údajů členskými státy při výkonu činností spadajících do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). |
(15) | S cílem zajistit jednotnou úroveň ochrany fyzických osob na základě právně vymahatelných práv v celé Unii a zamezit rozdílům bránícím výměně osobních údajů mezi příslušnými orgány by tato směrnice měla stanovit harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Sblížení práva členských států by nemělo vést k oslabení ochrany osobních údajů, kterou zajišťují, ale mělo by naopak mít za cíl zajištění vysoké úrovně ochrany v rámci Unie. Členské státy by měly mít možnost stanovit záruky, které jsou přísnější než záruky zavedené v této směrnici, pro ochranu práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány. |
(16) | Touto směrnicí není dotčena zásada přístupu veřejnosti k úředním dokumentům. Podle nařízení (EU) 2016/679 může osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, uvedený orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů. |
(17) | Ochrana poskytovaná touto směrnicí by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. |
(18) | S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technikách. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování v případě, že jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti této směrnice spadat neměly. |
(19) | Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (6) se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným nařízením (EU) 2016/679. |
(20) | Tato směrnice nebrání členským státům v tom, aby ve vnitrostátních předpisech o trestním řízení stanovily operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány, zejména pokud jde o osobní údaje obsažené v soudních rozhodnutích nebo v záznamech v souvislosti s trestním řízením. |
(21) | Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů již není identifikovatelný. |
(22) | Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování. |
(23) | Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Vzhledem ke složitosti a citlivosti genetických informací existuje velké riziko, že je správce zneužije nebo opakovaně použije pro různé účely. Jakákoli diskriminace na základě genetických rysů by měla být v zásadě zakázána. |
(24) | Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (7); číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely; informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro. |
(25) | Všechny členské státy jsou členy Mezinárodní organizace kriminální policie (Interpol). Aby Interpol mohl plnit své poslání, přijímá, ukládá a šíří osobní údaje s cílem napomáhat příslušným orgánům při prevenci a potírání mezinárodní trestné činnosti. Je proto vhodné posilovat spolupráci mezi Unií a Interpolem podporou efektivní výměny osobních údajů za současného zajištění respektování základních práv a svobod, pokud jde o automatizované zpracování osobních údajů. Při předávání osobních údajů z Unie Interpolu a do zemí, které mají zástupce u Interpolu, by se měla použít tato směrnice, zejména ustanovení o mezinárodním předávání údajů. Touto směrnicí by neměla být dotčena zvláštní pravidla stanovená společným postojem Rady 2005/69/SVV (8) a rozhodnutím Rady 2007/533/SVV (9). |
(26) | Jakékoli zpracování osobních údajů musí být zákonné, korektní a transparentní ve vztahu k dotčeným fyzickým osobám a musí být prováděno pouze pro specifické účely stanovené právním předpisem. To samo o sobě nebrání donucovacím orgánům v provádění činností, jako je skryté vyšetřování nebo dohled pomocí videokamer. Tyto činnosti lze provádět za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, pokud jsou stanoveny právním předpisem a pokud jsou v demokratické společnosti s náležitým přihlédnutím k oprávněným zájmům dotčené fyzické osoby nutné a přiměřené. Zásada ochrany údajů týkající se korektního zpracování představuje jiný pojem, než je právo na spravedlivý proces, jak jej vymezuje článek 47 Listiny a článek 6 Evropské úmluvy o ochraně lidských práv a základních svobod (EÚLP). Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Mělo by se zajistit, aby shromažďované osobní údaje byly omezené na nezbytný rozsah a aby nebyly uchovávány déle, než je nezbytné pro účel, pro který jsou zpracovávány. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro jejich výmaz nebo pravidelný přezkum. Členské státy by měly stanovit vhodné záruky pro případ osobních údajů uložených po delší dobu za účelem archivace ve veřejném zájmu či pro vědecké, statistické či historické využití. |
(27) | Pro prevenci, vyšetřování a stíhání trestných činů je nutné, aby příslušné orgány mohly osobní údaje shromážděné v souvislosti s prevencí, vyšetřováním, odhalováním či stíháním určitých trestných činů zpracovat také v jiném kontextu, aby mohly lépe chápat trestné činnosti a nalézat souvislosti mezi různými odhalenými trestnými činy. |
(28) | Aby byla zachována bezpečnost zpracování a zabránilo se zpracování v rozporu s touto směrnicí, měly by být osobní údaje zpracovávány způsobem, který zajistí náležitou úroveň zabezpečení a mlčenlivosti, včetně zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému ke zpracování nebo jejich neoprávněnému použití, a který bude brát ohled na současný stav techniky a technologií, náklady na provedení v souvislosti s riziky a povahu osobních údajů, které mají být chráněny. |
(29) | Osobní údaje by měly být shromažďovány pro stanovené, výslovně vyjádřené a legitimní účely v oblasti působnosti této směrnice a neměly by být zpracovávány pro účely neslučitelné s účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Pokud osobní údaje zpracovává stejný nebo jiný správce pro účel spadající do oblasti působnosti této směrnice, který je jiný než účel, pro nějž byly tyto údaje shromážděny, mělo by být toto zpracování přípustné, je-li povoleno v souladu s platnými právními přepisy a je pro tento jiný účel nezbytné a přiměřené. |
(30) | Zásada přesnosti údajů by měla být uplatňována s ohledem na povahu a účel daného zpracování. Prohlášení obsahující osobní údaje jsou zejména v soudních řízeních založena na subjektivním vnímání fyzických osob a nejsou vždy ověřitelná. Požadavek na přesnost by se tedy neměl týkat přesnosti prohlášení, ale pouze skutečnosti, že prohlášení bylo učiněno. |
(31) | Při zpracovávání osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce se přirozeně jedná o subjekty údajů různých kategorií. Proto by se mělo v příslušných případech a pokud možno jednoznačně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, jako jsou podezřelé osoby, osoby odsouzené za trestný čin, oběti a jiné osoby, například svědci, osoby, které mohou poskytnout relevantní informace, či kontaktní osoby a společníci podezřelých a odsouzených osob. To by nemělo bránit uplatňování práva presumpce neviny zaručeného Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva. |
(32) | Příslušné orgány by měly zajistit, aby nebyly předávány nebo zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Aby se zajistila ochrana fyzických osob i přesnost, úplnost, aktuálnost a spolehlivost předaných nebo zpřístupněných osobních údajů, měly by příslušné orgány při každém předání těchto údajů k nim pokud možno doplnit nezbytné informace. |
(33) | Odkazy v této směrnici na právo či právní předpis, právní základ či legislativní opatření členského státu neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Toto právo, právní předpisy, právní základ či legislativní opatření členského státu by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora a Evropského soudu pro lidská práva. Právo členského státu upravující oblast zpracování osobních údajů v rámci oblasti působnosti této směrnice by mělo specifikovat alespoň cíle, osobní údaje, které mají být zpracovány, účely zpracování, postupy k zachování neporušenosti a důvěrné povahy údajů a postupy jejich zničení, tak aby byly zajištěny dostatečné záruky proti riziku zneužití a svévole. |
(34) | Zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, by mělo zahrnovat jakoukoliv operaci či soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny automatizovaným či jiným zpracováním, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, seřazení či zkombinování, omezení zpracování, výmaz nebo zničení. Pravidla této směrnice by se měla vztahovat zejména na předávání osobních údajů pro účely této směrnice příjemci, na nějž se tato směrnice nevztahuje. Takovým příjemcem by se měla rozumět fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, jemuž příslušný orgán osobní údaje zákonně sděluje. Pokud osobní údaje původně shromáždil příslušný orgán pro některý z účelů této směrnice, mělo by se na zpracování těchto údajů pro jiné účely, než jsou účely této směrnice, vztahovat nařízení (EU) 2016/679, pokud je toto zpracování povoleno právem Unie nebo vnitrostátním právem. Pravidla nařízení (EU) 2016/679 by se měla vztahovat zejména na předávání osobních údajů pro účely, které nespadají do oblasti působnosti této směrnice. Pro zpracování osobních údajů příjemcem, který není příslušným orgánem ani nejedná jako příslušný orgán ve smyslu této směrnice a jemuž osobní údaje zákonně sdělil příslušný orgán, by se mělo použít nařízení (EU) 2016/679. Při provádění této směrnice by členské státy měly rovněž moci dále vymezit uplatňování pravidel nařízení (EU) 2016/679, s výhradou podmínek v něm stanovených. |
(35) | Aby bylo zpracování osobních údajů podle této směrnice zákonné, mělo by být nezbytné pro plnění úkolů vykonávaných ve veřejném zájmu příslušným orgánem na základě práva Unie nebo členského státu za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Tyto činnosti by měly zahrnovat ochranu životně důležitých zájmů subjektu údajů. Plnění úkolů prevence, vyšetřování, odhalování nebo stíhání trestných činů, kterými je institucionálně pověřily právní předpisy, pak příslušným orgánům umožňuje vyžadovat od fyzických osob nebo jim nařizovat, aby splnily, co je po nich požadováno. V takovém případě by souhlas subjektů údajů podle definice v nařízení (EU) 2016/679 neměl představovat právní základ pro zpracování osobních údajů příslušnými orgány. Pokud se od subjektu údajů vyžaduje splnění právní povinnosti, nemá tento subjekt skutečnou a svobodnou volbu, a jeho reakci tudíž nelze považovat za svobodný projev jeho vůle. To by členským státům nemělo bránit v tom, aby právním předpisem stanovily, že subjekt údajů může souhlasit se zpracováním svých osobních údajů pro účely této směrnice, jako jsou testy DNA při trestním vyšetřování nebo sledování místa, kde se nachází, elektronickými náramky pro účely výkonu trestu. |
(36) | Členské státy by měly stanovit, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky použitelné za určitých okolností na zpracování osobních údajů, jako je použití kódů pro další zacházení, by předávající příslušný orgán měl uvědomit příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat. Tyto podmínky by mohly například zahrnovat zákaz dalšího předávání osobních údajů jiným osobám, zákaz jejich využití pro jiné účely, než pro které byly příjemci předány, nebo povinnost informovat subjekt údajů v případě omezení práva na informace bez předchozího souhlasu předávajícího příslušného orgánu. Tyto povinnosti by se měly vztahovat i na předávání příslušnými orgány příjemcům ve třetích zemích nebo v mezinárodních organizacích. Členské státy by měly zajistit, aby předávající příslušný orgán nepoužíval pro příjemce v jiných členských státech nebo pro agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky než ty, které platí pro obdobná předání údajů v rámci členského státu tohoto příslušného orgánu. |
(37) | Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v této směrnici neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Tyto osobní údaje by měly být zpracovávány pouze tehdy, podléhá-li zpracování vhodným zárukám pro práva a svobody subjektu údajů stanoveným právním předpisem a je-li povoleno v případech stanovených právním předpisem; v případech, kdy takovým právním přepisem ještě povoleno nebylo, je-li zpracování nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby, nebo se týká údajů zjevně zveřejněných subjektem údajů. Vhodné záruky pro práva a svobody subjektu údajů by mohly zahrnovat možnost shromažďovat tyto údaje pouze ve spojení s jinými údaji o dotyčné fyzické osobě, možnost přiměřeně zabezpečit shromážděné údaje, přísnější pravidla pro přístup zaměstnanců příslušného orgánu k takovým údajům nebo zákaz předávání těchto údajů. Zpracování těchto údajů by mělo být právními předpisy povoleno rovněž tehdy, kdy subjekt údajů udělil výslovný souhlas se zpracováním údajů, které je pro něj zvláště invazivní. Souhlas subjektu údajů by však sám o sobě neměl představovat právní základ pro zpracování tak citlivých osobních údajů příslušnými orgány. |
(38) | Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí hodnotícího osobní aspekty týkající se jeho osoby, které vychází výlučně z automatizovaného zpracování a které pro něj má nepříznivé právní účinky nebo se jej významně dotýká. V každém případě by takové zpracování mělo být spojeno s vhodnými zárukami, včetně poskytnutí konkrétních informací subjektu údajů a práva na lidský zásah, zejména vyjádřit svůj názor, získat vysvětlení k rozhodnutí učiněnému po takovém posouzení nebo toto rozhodnutí napadnout. Profilování, které vede k diskriminaci fyzických osob na základě osobních údajů, jež jsou ze své povahy obzvláště citlivé z hlediska základních práv a svobod, je zakázáno za podmínek stanovených v článcích 21 a 52 Listiny. |
(39) | Aby mohl subjekt údajů uplatňovat svá práva, měly by mu být veškeré informace snadno přístupné, mimo jiné na internetových stránkách správce, srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tyto informace by měly být přizpůsobeny potřebám zranitelných osob, jako jsou děti. |
(40) | Je třeba stanovit postupy, které by subjektům údajů usnadnily výkon jejich práv podle předpisů přijatých na základě této směrnice, včetně mechanismů pro bezplatné podávání žádostí zejména o přístup k osobním údajům a jejich opravy nebo výmazu a omezení zpracování a případné bezplatné obdržení tohoto přístupu či těchto operací. Správci by měla být uložena povinnost odpovědět na žádost subjektu údajů bez zbytečného odkladu, pokud správce neuplatňuje omezení práv subjektu údajů v souladu s pravidly této směrnice. Pokud však jsou žádosti zjevně nedůvodné nebo nepřiměřené, jako v případě, kdy subjekt údajů bezdůvodně a opakovaně požaduje informace nebo kdy subjekt údajů zneužívá své právo na informace například poskytnutím nepravdivých nebo zavádějících informací při podání žádosti, měl by mít správce možnost uložit přiměřený poplatek nebo žádost odmítnout. |
(41) | Pokud správce požaduje poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů, měly by být tyto informace zpracovány pouze pro tento konkrétní účel a neměly by být uloženy déle, než je pro tento účel nezbytné. |
(42) | Subjektu údajů by měly být poskytnuty alespoň tyto informace: totožnost správce, existence operací zpracování, účely zpracování, právo podat stížnost a existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz nebo omezení zpracování. Tyto informace by mohly být zpřístupněny na internetových stránkách příslušného orgánu. Kromě toho by subjekt údajů, ve zvláštních případech a s cílem umožnit výkon jeho práv, měl být informován o právním základě zpracování a o tom, jak dlouho budou údaje uloženy, jsou-li takové další informace nezbytné, s přihlédnutím ke zvláštním okolnostem, za nichž jsou osobní údaje zpracovávány, s cílem zajistit korektní zpracování s ohledem na subjekt údajů. |
(43) | Fyzická osoba by měla mít právo na přístup ke shromážděným osobním údajům, které se jí týkají, a měla by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byla o jejich zpracování informována a mohla si ověřit jeho zákonnost. Každý subjekt údajů by proto měl mít právo vědět zejména o tom, za jakým účelem se osobní údaje zpracovávají, za jaké období a kdo jsou příjemci osobních údajů, včetně ve třetích zemích, a obdržet příslušná sdělení. Pokud tato sdělení obsahují informace o původu těchto osobních údajů, neměly by tyto informace odhalit totožnost fyzických osob, zejména důvěrné zdroje. K dodržení tohoto práva postačí, aby subjekt údajů obdržel úplný přehled těchto údajů ve srozumitelné formě, tj. ve formě, která subjektu údajů umožňuje se s těmito údaji seznámit a ověřit, že jsou přesné a že byly zpracovány v souladu s touto směrnicí, aby tak mohl vykonávat práva, jež mu tato směrnice přiznává. Tento přehled by mohl být poskytován formou kopie osobních údajů, které jsou zpracovávány. |
(44) | Členské státy by měly mít možnost přijmout legislativní opatření, aby poskytnutí těchto informací subjektům údajů odložily, omezily či od něho upustily, nebo aby úplně nebo částečně omezily přístup k jejich osobním údajům, v takovém rozsahu a po takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránit nepříznivému ovlivňování prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, chránit veřejnou nebo národní bezpečnost nebo chránit práva a svobody druhých. Správce by měl posoudit na základě konkrétního a individuálního přezkumu každého případu, zda by mělo být právo na přístup částečně nebo zcela omezeno. |
(45) | Jakékoli odmítnutí nebo omezení přístupu by v zásadě mělo být subjektu údajů sděleno písemně a mělo by obsahovat věcné nebo právní důvody, které k danému rozhodnutí vedly. |
(46) | Jakékoli omezení práv subjektu údajů musí být v souladu s Listinou a EÚLP, jak je vykládá judikatura Soudního dvora a Evropského soudu pro lidská práva, a především dodržovat podstatu těchto práv a svobod. |
(47) | Fyzická osoba by měla mít právo na opravu nepřesných osobních údajů, které se jí týkají, zejména údajů o skutečnostech, a právo na výmaz, pokud je zpracování těchto údajů v rozporu s touto směrnicí. Nicméně právo na opravu by nemělo ovlivnit například obsah svědecké výpovědi. Fyzická osoba by rovněž měla mít právo na omezení zpracování, pokud zpochybňuje přesnost osobních údajů a tuto přesnost nebo nepřesnost nelze ověřit nebo pokud musí být dané osobní údaje uchovány pro účely dokazování. Namísto výmazu osobních údajů by mělo být jejich zpracování omezeno zejména tehdy, pokud v určitém konkrétním případě existují oprávněné důvody se domnívat, že by výmaz mohl poškodit oprávněné zájmy subjektu údajů. Omezené údaje by v takovém případě měly být zpracovávány pouze pro účel, který zabránil jejich výmazu. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat přesun vybraných údajů do jiného systému zpracování, například pro účely archivace, nebo znepřístupnění vybraných údajů. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena. Takováto oprava nebo výmaz osobních údajů nebo omezení zpracování by měly být sděleny příjemcům, jimž byly údaje zpřístupněny, a příslušným orgánům, od nichž nepřesné údaje pocházely. Správci by také neměli tyto údaje dále šířit. |
(48) | Pokud správce odepře subjektu údajů jeho právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz anebo omezení zpracování, měl by mít subjekt údajů právo požadovat, aby vnitrostátní dozorový úřad ověřil zákonnost zpracování. Subjekt údajů by měl být o tomto právu informován. Pokud dozorový úřad koná v zájmu subjektu údajů, měl by jej informovat alespoň o tom, že provedl veškerá nezbytná ověření nebo přezkumy. Dozorový úřad by měl subjekt údajů rovněž informovat o právu na soudní ochranu. |
(49) | Pokud jsou osobní údaje zpracovávány v průběhu trestního vyšetřování a soudního řízení v trestních věcech, mělo by být možné stanovit, že právo na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování má být vykonáváno v souladu s vnitrostátní úpravou soudního řízení. |
(50) | Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s touto směrnicí. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. Opatření přijatá správcem by měla zahrnovat vypracování a provedení konkrétních záruk, pokud jde o zpracování osobních údajů zranitelných osob, jako jsou děti. |
(51) | Různě pravděpodobná a různě závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech: kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití totožnosti, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění; kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje; kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech; kdy jsou zpracovávány genetické či biometrické údaje za účelem jedinečné identifikace fyzické osoby nebo kdy jsou zpracovávány údaje o zdravotním stavu či sexuálním životě a sexuální orientaci nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních; kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy a odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa, kde se nachází, nebo pohybu; kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí; nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů. |
(52) | Pravděpodobnost a závažnost rizika by měly být určeny s ohledem na povahu, rozsah, kontext a účely zpracování. Riziko by mělo být hodnoceno objektivním posouzením zjišťujícím, zda operace zpracování představují vysoké riziko. Vysoké riziko je zvláštní riziko ohrožení práv a svobod subjektů údajů. |
(53) | Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků této směrnice. Provádění těchto opatření by nemělo záviset výlučně na ekonomických hlediscích. Aby správce mohl doložit soulad s touto směrnicí, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Jestliže správce vypracoval posouzení vlivu na ochranu osobních údajů podle této směrnice, měly by být jeho výsledky zohledněny při vytváření uvedených opatření a postupů. Tato opatření by mohla mimo jiné spočívat v tom, že je co nejdříve použita pseudonymizace. Použití pseudonymizace pro účely této směrnice může posloužit jako nástroj, který by mohl usnadnit zejména volný pohyb osobních údajů v prostoru svobody, bezpečnosti a práva. |
(54) | Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů, mimo jiné pokud jde o jejich monitorování a opatření vůči nim přijímaná dozorovými úřady, vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v této směrnici, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna pro správce. |
(55) | Provádění zpracování zpracovatelem by se mělo řídit právním aktem, včetně smlouvy, který zavazuje zpracovatele vůči správci a zejména stanoví, že zpracovatel by měl jednat pouze podle pokynů správce. Zpracovatel by měl zohledňovat zásadu záměrné a standardní ochrany osobních údajů. |
(56) | Aby správce nebo zpracovatel doložil soulad s touto směrnicí, měl by vést záznamy o všech kategoriích činností zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Správce nebo zpracovatel zpracovávající osobní údaje prostřednictvím neautomatizovaných systémů zpracování by měl mít zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů. |
(57) | Logy by měly být vedeny alespoň pro operace v rámci automatizovaných systémů zpracování, jako jsou shromažďování, pozměňování, nahlížení, sdělování včetně předávání, kombinování nebo výmaz. Měla by být zaznamenána totožnost fyzické osoby, která do osobních údajů nahlédla nebo je zpřístupnila, a z této totožnosti by mělo být možné odvodit důvody pro zpracování. Logy by se měly používat pouze pro ověření zákonnosti zpracování, pro vlastní kontrolu, pro zajištění neporušenosti a zabezpečení údajů a pro trestní řízení. Vlastní kontrola rovněž zahrnuje interní disciplinární řízení příslušných orgánů. |
(58) | Správce by měl provést posouzení vlivu na ochranu osobních údajů v případě, že operace zpracování kvůli své povaze, rozsahu nebo účelu s sebou pravděpodobně nesou vysoká rizika pro práva a svobody subjektů údajů, přičemž by toto posouzení mělo zahrnovat zejména plánovaná opatření, záruky a mechanismy, jimiž lze zajistit ochranu osobních údajů a doložit soulad s touto směrnicí. Posouzení vlivu by mělo zahrnovat příslušné systémy a postupy operací zpracování, nikoli individuální případy. |
(59) | Aby byla zajištěna účinná ochrana práv a svobod subjektů údajů, měl by správce nebo zpracovatel v určitých případech před zpracováním konzultovat s dozorovým úřadem. |
(60) | V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s touto směrnicí, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň zabezpečení, včetně mlčenlivosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné sdělení nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohlo zejména vést k fyzické, hmotné nebo nehmotné újmě. Správce a zpracovatel by měli zajistit, aby zpracování osobních údajů neprováděly neoprávněné osoby. |
(61) | Není-li porušení zabezpečení osobních údajů náležitě a včas řešeno, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. |
(62) | Je-li pravděpodobné, že porušení zabezpečení osobních údajů může mít za následek vysoké riziko pro práva a svobody fyzických osob, měly by být fyzické osoby bez zbytečného odkladu informovány, aby mohly přijmout nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů. Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. Není-li možné zabránění maření úředních nebo právních šetření, vyšetřování nebo postupů, zabránění nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů, ochrany veřejného pořádku, ochrany národní bezpečnosti nebo ochrany práv a svobod druhých dosáhnout zpožděním či omezením sdělení o porušení zabezpečení osobních údajů dotčené fyzické osobě, mohlo by být od tohoto sdělení ve výjimečných případech upuštěno. |
(63) | Správce by měl určit osobu, která mu bude pomáhat monitorovat vnitřní dodržování ustanovení přijatých podle této směrnice, s výjimkou případů, kdy členský stát rozhodne o vynětí soudů a jiných nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí. Tato osoba by mohla být součástí stávajícího personálu správce, který absolvoval zvláštní odbornou přípravu ohledně práva a praxe v oblasti ochrany údajů s cílem získat odborné znalosti v této oblasti. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem. Tato osoba by mohla plnit úkoly na částečný nebo plný úvazek. Pověřence pro ochranu osobních údajů může společně jmenovat více správců s ohledem na svou organizační strukturu a velikost, například v případě sdílených zdrojů v centrálních jednotkách. Tato osoba může být rovněž jmenována na různé pozice ve struktuře příslušných správců. Měla by správci a zaměstnancům zpracovávajícím osobní údaje pomáhat prostřednictvím informování a poradenství o dodržování jejich příslušných povinností týkajících se ochrany údajů. Tito pověřenci pro ochranu osobních údajů by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem v souladu s právem členského státu. |
(64) | Členské státy by měly zajistit, aby se předání údajů do třetí země nebo mezinárodní organizaci uskutečnilo jen tehdy, je-li to nezbytné za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a je-li správce v dané třetí zemi nebo v mezinárodní organizaci příslušným orgánem ve smyslu této směrnice. Předání by měly provádět pouze příslušné orgány jednající jako správci údajů vyjma případy, kdy jsou zpracovatelé výslovně pověřeni, aby předání provedli pro správce. Takové předání může být provedeno v případech, kdy Komise rozhodla, že daná třetí země nebo mezinárodní organizace zajišťuje odpovídající úroveň ochrany, kdy byly poskytnuty vhodné záruky nebo kdy se uplatní výjimky stanovené pro specifické situace. Pokud jsou osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob poskytovaná v Unii touto směrnicí znehodnocena, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. |
(65) | Pokud jsou osobní údaje předávány z členského státu do třetích zemí nebo mezinárodním organizacím, mělo by se takové předání v zásadě uskutečnit pouze poté, co členský stát, od něhož byly údaje získány, toto další předání povolil. V zájmu účinné spolupráce při vymáhání práva je třeba, aby v případech, kdy je povaha ohrožení veřejné bezpečnosti členského státu nebo třetí země či podstatných zájmů členského státu tak bezprostřední, že není možné včas získat předchozí povolení, měl příslušný orgán možnost předat příslušné osobní údaje do dotyčné třetí země nebo dotyčné mezinárodní organizaci bez tohoto předchozího povolení. Členské státy by měly stanovit, že třetím zemím a mezinárodním organizacím by měly být oznamovány veškeré zvláštní podmínky týkající se předání. Další předání osobních údajů by měla podléhat předchozímu povolení příslušného orgánu, který provedl původní předání. Při rozhodování o žádosti o povolení dalšího předání by měl příslušný orgán, který provedl původní předání, řádně zohlednit všechny relevantní faktory, včetně závažnosti trestného činu, zvláštních podmínek, za nichž došlo k původnímu předání údajů, účelu, pro který byly údaje původně předány, povahy a podmínek výkonu trestu a úrovně ochrany osobních údajů ve třetí zemi nebo v mezinárodní organizaci, které jsou osobní údaje dále předávány. Příslušný orgán, který provedl původní předání, by měl mít rovněž možnost stanovit zvláštní podmínky pro další předání. Tyto zvláštní podmínky mohou být popsány například v kódech pro další zacházení. |
(66) | Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a tímto způsobem zajistit právní jistotu a jednotné uplatňování práva v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat nějaké zvláštní povolení, s výjimkou případů, kdy musí s předáním souhlasit jiný členský stát, od něhož byly údaje získány. |
(67) | V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana. |
(68) | Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností. Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu. Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat Evropský sbor pro ochranu osobních údajů, zřízený nařízením (EU) 2016/679 (dále jen „sbor“). Komise by rovněž měla zohlednit veškerá příslušná rozhodnutí Komise o odpovídající ochraně přijatá v souladu s článkem 45 nařízení (EU) 2016/679. |
(69) | Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci. Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování. Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý významný vývoj v dané třetí zemi nebo mezinárodní organizaci. |
(70) | Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky této směrnice týkající se předání na základě vhodných záruk a odchylek ve zvláštních situacích. Měly by být stanoveny postupy pro konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace. |
(71) | Předání údajů, které není založeno na takovém rozhodnutí o odpovídající ochraně, by mělo být povoleno pouze v případě, pokud byly v právně závazném nástroji poskytnuty vhodné záruky, jež zajišťují ochranu osobních údajů, nebo pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení se domnívá, že pro ochranu osobních údajů existují vhodné záruky. Takovými právně závaznými nástroji by například mohly být právně závazné dvoustranné dohody, které byly uzavřeny členskými státy a provedeny v jejich právním řádu a jichž by se mohly dovolávat jejich subjekty údajů, zajišťující splnění požadavků na ochranu údajů a práva subjektů údajů, včetně práva na účinné prostředky správním či soudní ochrany. Správce by měl mít možnost vzít v úvahu dohody o spolupráci uzavřené mezi Europolem nebo Eurojustem a třetími zeměmi, které umožňují výměnu osobních údajů při posouzení všech okolností daného předání údajů. Správce by měl mít možnost vzít v úvahu i skutečnost, že se na předání osobních údajů budou vztahovat povinnosti související se zachováním mlčenlivosti a zásada specifičnosti, což zaručí, že tyto údaje nebudou zpracovány pro jiné účely než pro účely předání. Správce by navíc měl vzít v úvahu i skutečnost, že osobní údaje nebudou použity v souvislosti se žádostí o trest smrti, jeho vynesením nebo výkonem nebo s jakoukoli formou krutého a nelidského zacházení. Zatímco tyto podmínky by mohly být považovány za vhodné záruky umožňující předání údajů, správce by měl mít možnost požadovat další záruky. |
(72) | Kde neexistuje rozhodnutí o odpovídající ochraně ani vhodné záruky, mohlo by se předání nebo kategorie předání uskutečnit pouze ve zvláštních situacích, je-li to nutné k ochraně životních zájmů subjektu údajů nebo jiné osoby nebo k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právní předpisy členského státu, který osobní údaje předává, k zabránění bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi nebo, v individuálních případech, k prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, nebo, v individuálních případech, ke stanovení, výkonu nebo ochraně právních nároků. Tyto výjimky by měly být vykládány restriktivně, neměly by umožňovat časté, hromadné a strukturální předávání osobních údajů ani rozsáhlá předávání údajů a měly by se omezit na přísně nezbytné údaje. Tato předání by měla být zdokumentována a měla by být zpřístupněna na požádání dozorového úřadu za účelem sledování zákonnosti předání. |
(73) | Příslušné orgány členských států uplatňují platné dvoustranné nebo mnohostranné mezinárodní dohody uzavřené s třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce pro výměnu příslušných informací s cílem umožnit jim, aby plnily své právním předpisem stanovené úkoly. Tato výměna probíhá v zásadě prostřednictvím nebo přinejmenším za spolupráce orgánů příslušných v dotčených třetích zemí pro účely této směrnice, někdy dokonce za neexistence dvoustranné nebo mnohostranné mezinárodní dohody. Nicméně v konkrétních individuálních případech mohou být běžné postupy vyžadující kontaktování takového orgánu ve třetí zemi neúčinné nebo nevhodné, zejména proto, že by předání nemohlo být provedeno včas nebo protože uvedený orgán ve třetí zemi nedodržuje zásady právního státu nebo mezinárodní normy a standardy v oblasti lidských práv, a tak by příslušné orgány členských států mohly rozhodnout o předání osobních údajů přímo příjemcům usazeným v těchto třetích zemích. Může tomu tak být i v případě, že je naléhavě potřeba předat osobní údaje k záchraně života osoby, jíž hrozí, že se stane obětí trestného činu, nebo v zájmu předejití bezprostřednímu spáchání trestného činu, včetně terorismu. Přestože k tomuto předání mezi příslušnými orgány a příjemci usazenými ve třetích zemích by mělo docházet pouze ve zvláštních individuálních případech, měla by tato směrnice za účelem jejich úpravy stanovit podmínky. Uvedená ustanovení by neměla být považována za odchylky od jakýchkoli stávajících dvoustranných nebo mnohostranných mezinárodních dohod v oblasti justiční spolupráce v trestních věcech a policejní spolupráce. Zmíněná pravidla by se měla uplatnit spolu s ostatními pravidly obsaženými v této směrnici, zejména s pravidly o zákonnosti zpracování a pravidly kapitoly V. |
(74) | Předání osobních údajů přes hranice může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů a chránit se před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci a rozdíly v právní úpravě. Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací s dozorovými úřady jiných zemí. |
(75) | Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly zcela nezávisle. Dozorové úřady by měly sledovat uplatňování předpisů přijatých na základě této směrnice a přispívat k jejímu soudržnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem by měly spolupracovat mezi sebou a s Komisí. |
(76) | Členské státy mohou dozorový úřad, který již byl zřízen podle nařízení (EU) 2016/679, pověřit úkoly, jež mají plnit vnitrostátní dozorové úřady, které mají být zřízeny podle této směrnice. |
(77) | Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání. Každému dozorovému úřadu by měly být poskytnuty finanční a lidské zdroje, prostory a infrastruktura, které potřebuje pro účinné plnění svých úkolů, včetně úkolů souvisejících se vzájemnou pomocí a spoluprací s jinými dozorovými úřady v celé Unii. Každý dozorový úřad by měl mít samostatný roční veřejný rozpočet, který může být součástí celkového zemského nebo státního rozpočtu. |
(78) | Dozorové úřady by měly podléhat nezávislým mechanismům kontroly nebo sledování, pokud jde o jejich finanční výdaje, za podmínky, že touto finanční kontrolou není dotčena jejich nezávislost. |
(79) | Obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právem členského státu, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády, člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu. V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí. V zájmu zajištění své nezávislosti by si měl dozorový úřad své zaměstnance vybírat sám, případně se zapojením nezávislého subjektu pověřeného právem členského státu. |
(80) | Ačkoli se tato směrnice vztahuje také na činnosti vnitrostátních soudů a dalších justičních orgánů, neměla by se pravomoc dozorových úřadů vztahovat na zpracování osobních údajů soudy jednajícími v rámci svých justičních pravomocí, aby byla zachována nezávislost soudců při výkonu jejich justičních úkolů. Tato výjimka by měla být omezena na justiční činnosti v soudních řízeních a neměla by se vztahovat na jiné činnosti, do kterých mohou být soudci v souladu s právem členského státu zapojeni. Členské státy by rovněž měly mít možnost stanovit, že se pravomoc dozorového úřadu nevztahuje na zpracování osobních údajů jinými nezávislými justičními orgány jednajícími v rámci svých justičních pravomocí, například státním zastupitelstvím. Dodržování pravidel této směrnice soudy a jinými nezávislými justičními orgány by mělo být v každém případě vždy předmětem nezávislého dohledu podle čl. 8 odst. 3 Listiny. |
(81) | Každý dozorový úřad by se měl zabývat stížnostmi podanými kterýmkoli subjektem údajů a danou záležitost buď prošetřit, nebo postoupit příslušnému dozorovému úřadu. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. |
(82) | Aby se zajistilo účinné, spolehlivé a soudržné monitorování dodržování a prosazování této směrnice v celé Unii na základě Smlouvy o fungování EU, jak je vykládána Soudním dvorem, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a poskytovat poradenství, které jsou nezbytnými prostředky k plnění jejich úkolů. Jejich pravomoci by však neměly být v rozporu se zvláštními pravidly trestního řízení, včetně vyšetřování trestných činů a jejich stíhání, ani s nezávislostí soudů. Aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu v trestním řízení podle vnitrostátního práva, měly by mít dozorové úřady rovněž pravomoc upozorňovat justiční orgány na porušení této směrnice nebo se obracet na soud. Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými právem Unie a členského státu nestranně, spravedlivě a v přiměřených lhůtách. Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s touto směrnicí, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže. Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky práva členského státu, jako je například požadavek obstarat si předem soudní povolení. Přijetí právně závazného rozhodnutí by mělo podléhat soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal. |
(83) | Dozorové úřady by si při plnění svých úkolů měly být vzájemně nápomocny, aby bylo zajištěno soudržné uplatňování a prosazování předpisů přijatých na základě této směrnice. |
(84) | Sbor by měl přispívat k soudržnému uplatňování této směrnice v celé Unii, včetně poskytování poradenství Komisi a podpory spolupráce dozorových úřadů v celé Unii. |
(85) | Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorového úřadu a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva vyplývající z předpisů přijatých na základě této směrnice, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně zamítne či odmítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Příslušný dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl každý dozorový úřad přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky. |
(86) | Každá fyzická nebo právnická osoba by měla mít právo podat u příslušného vnitrostátního soudu účinný prostředek nápravy proti rozhodnutí dozorového úřadu, které vůči ní zakládá právní účinky. Takové rozhodnutí se týká zejména výkonu šetřicích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Toto právo se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní. |
(87) | Pokud se subjekt údajů domnívá, že jeho práva podle této směrnice byla porušena, měl by být oprávněn pověřit určitý subjekt, jehož cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jenž byl řádně zřízen podle práva členského státu, aby podal jeho jménem stížnost u dozorového úřadu a uplatnil právo na soudní ochranu. Právem na zastupování subjektů údajů by nemělo být dotčeno procesní právo členského státu, které může vyžadovat povinné zastupování subjektů údajů advokátem u vnitrostátních soudů, jak je vymezeno ve směrnici Rady77/249/EHS (10). |
(88) | Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje předpisy přijaté na základě této směrnice, by měl nahradit správce nebo jakýkoliv jiný orgán příslušný podle práva členského státu. Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů této směrnice. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Odkazuje-li se na zpracování, které je protiprávní nebo je porušuje předpisy přijaté na základě této směrnice, rozumí se tím rovněž zpracování, které porušuje prováděcí akty přijaté podle této směrnice. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. |
(89) | Každé fyzické nebo veřejnoprávní či soukromoprávní právnické osobě, která poruší tuto směrnici, by měly být uloženy sankce. Členské státy by měly zajistit, aby byly tyto sankce účinné, přiměřené a odrazující, a měly by přijmout všechna opatření pro jejich uplatňování. |
(90) | V zájmu zajištění jednotných podmínek k provedení této směrnice by měly být Komisi svěřeny prováděcí pravomoci, pokud jde o odpovídající úroveň ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, o formát a postupy pro vzájemnou pomoc a o úpravu elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11). |
(91) | Pro přijímání prováděcích aktů týkajících se odpovídající úrovně ochrany poskytované určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací, formátu a postupů pro vzájemnou pomoc a úpravy elektronické výměny informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem by se měl vzhledem k tomu, že se jedná o akty s obecnou působností, použít přezkumný postup. |
(92) | Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech týkajících se určité třetí země, určitého území či konkrétního odvětví v určité třetí zemi nebo určité mezinárodní organizace, které již nezajišťují odpovídající úroveň ochrany, měla by Komise přijmout okamžitě použitelné prováděcí akty. |
(93) | Jelikož cílů této směrnice, totiž ochrany základních práv a svobod fyzických osob, a zejména jejich práva na ochranu osobních údajů, a zajištění volného pohybu osobních údajů mezi příslušnými orgány v rámci Unie, nemůže být uspokojivě dosaženo členskými státy, ale spíše jich z důvodu rozsahu či účinků tohoto opatření může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o EU. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů. |
(94) | Konkrétní ustanovení aktů Unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce přijatých přede dnem přijetí této směrnice, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv, by měla zůstat nedotčena, jako například zvláštní ustanovení o ochraně osobních údajů uplatňovaná podle rozhodnutí Rady 2008/615/SVV (12) nebo článek 23 Úmluvy o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie (13). Vzhledem k tomu, že článek 8 Listiny a článek 16 Smlouvy o fungování EU vyžadují, aby základní právo na ochranu osobních údajů bylo zajištěno soudržným způsobem v celé Unii, by Komise měla s cílem posoudit, zda je třeba tato konkrétní ustanovení uvést v soulad s touto směrnicí, vyhodnotit situaci, pokud jde o vztah mezi touto směrnicí a akty přijatými přede dnem jejího přijetí, jež upravují zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených podle Smluv. V případě potřeby by měla Komise předložit návrhy za účelem zajištění vzájemného souladu právních předpisů týkajících se zpracování osobních údajů. |
(95) | V zájmu zajištění komplexní a soudržné ochrany osobních údajů v Unii by mezinárodní dohody, které členské státy uzavřely přede dnem vstupu této směrnice v platnost a které jsou v souladu s příslušným právem Unie použitelným před uvedeným dnem, měly zůstat v platnosti, dokud nebudou změněny, nahrazeny či zrušeny. |
(96) | Členským státům by k provedení této směrnice měla být poskytnuta lhůta ne delší než dva roky ode dne jejího vstupu v platnost. Zpracování, které již k uvedenému dni probíhá, by mělo být uvedeno v soulad s touto směrnicí do dvou let ode dne vstupu této směrnice v platnost. Pokud je však toto zpracování v souladu s právem Unie platným přede dnem vstupu této směrnice v platnost, neměly by se požadavky této směrnice týkající se předběžné konzultace dozorového úřadu vztahovat na operace zpracování, které již probíhaly před uvedeným dnem, neboť tyto požadavky musejí být ze své podstaty splněny před zpracováním. Pokud členské státy využijí delší období provádění pro splnění povinností ohledně vedení logů pro automatizované systémy zpracování zavedené přede dnem vstupu této směrnice v platnost, které skončí sedm let po uvedeném dni, měl by mít správce nebo zpracovatel zavedeny účinné způsoby dokládání zákonnosti zpracování, umožnění vlastní kontroly a zajištění neporušenosti a zabezpečení údajů, jako jsou logy nebo jiné formy záznamů. |
(97) | Touto směrnicí nejsou dotčena pravidla pro boj proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii stanovená ve směrnici Evropského parlamentu a Rady 2011/93/EU (14). |
(98) | Rámcové rozhodnutí 2008/977/SVV by proto mělo být zrušeno. |
(99) | V souladu s článkem 6a Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou Spojené království a Irsko vázány pravidly stanovenými v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, pokud nejsou vázány pravidly Unie upravujícími formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být dodržována pravidla přijatá na základě článku 16 Smlouvy o fungování EU. |
(100) | V souladu s články 2 a 2a Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, nejsou pro Dánsko závazná ani použitelná pravidla stanovená v této směrnici, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Vzhledem k tomu, že tato směrnice navazuje na schengenské acquis podle části třetí hlavy V Smlouvy o fungování EU, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců od přijetí této směrnice, zda ji provede ve svém vnitrostátním právu. |
(101) | Pokud jde o Island a Norsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (15). |
(102) | Pokud jde o Švýcarsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (16). |
(103) | Pokud jde o Lichtenštejnsko, rozvíjí tato směrnice ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (17). |
(104) | Tato směrnice ctí základní práva a dodržuje zásady uznávané v Listině, jak jsou zakotveny ve Smlouvě o fungování EU, zejména právo na respektování soukromého a rodinného života, právo na ochranu osobních údajů, právo na účinnou právní ochranu a spravedlivý proces. Omezení výkonu těchto práv jsou v souladu s čl. 52 odst. 1 Listiny, neboť jsou nezbytná pro plnění cílů obecného zájmu, které uznává Unie, nebo naplnění potřeby ochrany práv a svobod druhého. |
(105) | Členské státy se v souladu se společným politickým prohlášením členských států a Komise ze dne 28. září 2011 o informativních dokumentech zavázaly, že v odůvodněných případech doplní oznámení o opatřeních přijatých za účelem provedení směrnice ve vnitrostátním právu o jeden či více dokumentů s informacemi o vztahu mezi jednotlivými složkami směrnice a příslušnými částmi vnitrostátních opatření přijatých za účelem provedení směrnice ve vnitrostátním právu. V případě této směrnice považuje normotvůrce předložení těchto dokumentů za odůvodněné. |
(106) | Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 a vydal stanovisko dne 7. března 2012 (18). |
(107) | Tato směrnice by neměla členským státům bránit v tom, aby výkon práv subjektů údajů na informace, přístup k osobním údajům, jejich opravu nebo výmaz a omezení zpracování v průběhu trestního řízení, a případná omezení výkonu těchto práv provedly ve vnitrostátních předpisech upravujících trestní řízení, |
PŘIJALY TUTO SMĚRNICI:
KAPITOLA I
Obecná ustanovení
Článek 1
Předmět a cíle
1. Tato směrnice stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
2. Členské státy v souladu s touto směrnicí:
a) | chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a |
b) | zajišťují, aby výměna osobních údajů příslušnými orgány uvnitř Unie, pokud je vyžadována právem Unie nebo členského státu, nebyla omezována ani zakazována z důvodů ochrany fyzických osob v souvislosti se zpracováním osobních údajů. |
3. Tato směrnice nebrání členským státům v tom, aby poskytovaly přísnější záruky ochrany práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány, než jaké stanoví tato směrnice.
Článek 2
Oblast působnosti
1. Tato směrnice se vztahuje na zpracování osobních údajů příslušnými orgány pro účely uvedené v čl. 1 odst. 1.
2. Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
3. Tato směrnice se nevztahuje na zpracování osobních údajů prováděné:
a) | při výkonu činností, které nespadají do oblasti působnosti práva Unie; |
b) | orgány, institucemi a jinými subjekty Unie. |
Článek 3
Definice
Pro účely této směrnice se rozumějí:
1) | „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; |
2) | „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; |
3) | „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu; |
4) | „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu; |
5) | „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě; |
6) | „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska; |
7) | „příslušným orgánem“:
|
8) | „správcem“ příslušný orgán, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení; |
9) | „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; |
10) | „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly pro ochranu údajů v souladu s účely zpracování; |
11) | „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů; |
12) | „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby; |
13) | „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje; |
14) | „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu; |
15) | „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 41; |
16) | „mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě. |
KAPITOLA II
Zásady
Článek 4
Zásady zpracování osobních údajů
1. Členské státy zajistí, aby byly osobní údaje:
a) | zpracovávány zákonným a korektním způsobem; |
b) | shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nebyly zpracovávány způsobem, který je s těmito účely neslučitelný; |
c) | přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány; |
d) | přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření zajišťující, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které jsou zpracovávány, byly bezodkladně vymazány nebo opraveny; |
e) | uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; |
f) | zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. |
2. Zpracování stejným nebo jiným správcem pro kterýkoli účel uvedený v čl. 1 odst. 1 jiný než účel, pro nějž byly osobní údaje shromážděny, je přípustné, pokud:
a) | je správce oprávněn zpracovávat takové osobní údaje pro takový účel v souladu s právem Unie či členského státu a |
b) | je zpracování pro tento jiný účel nezbytné a přiměřené v souladu s právem Unie či členského státu. |
3. Zpracování stejným nebo jiným správcem může zahrnovat archivaci ve veřejném zájmu či vědecké, statistické či historické použití pro účely uvedené v čl. 1 odst. 1, s výhradou vhodných záruk pro práva a svobody subjektů údajů.
4. Správce odpovídá za dodržení odstavců 1, 2 a 3 a musí být schopen toto dodržení doložit.
Článek 5
Doba uložení osobních údajů a přezkum
Členské státy stanoví, že budou určeny přiměřené lhůty pro výmaz osobních údajů nebo pro pravidelný přezkum potřeby uložení osobních údajů. Jejich dodržování zajistí procesní opatření.
Článek 6
Rozlišování mezi různými kategoriemi subjektů údajů
Členské státy stanoví, že správce, v příslušných případech a pokud je to možné, musí jasně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, například:
a) | osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat; |
b) | osob odsouzených za trestný čin; |
c) | osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a |
d) | třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b). |
Článek 7
Rozlišování mezi osobními údaji a ověřování jejich kvality
1. Členské státy stanoví, že se pokud možno rozlišují osobní údaje založené na skutečnostech od osobních údajů založených na osobních hodnoceních.
2. Členské státy stanoví, že příslušné orgány učiní veškerá rozumná opatření s cílem zajistit, aby nebyly předávány ani zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Za tímto účelem každý příslušný orgán ověří, pokud je to proveditelné, kvalitu osobních údajů před jejich předáním nebo zpřístupněním. Při každém předání osobních údajů se k nim pokud možno doplní nezbytné informace, jež umožní přijímajícímu příslušnému orgánu zhodnotit míru jejich přesnosti, úplnosti, spolehlivosti a aktuálnosti.
3. Zjistí-li se, že došlo k předání nesprávných osobních údajů nebo že údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být osobní údaje opraveny nebo vymazány nebo být omezeno zpracování v souladu s článkem 16.
Článek 8
Zákonnost zpracování
1. Členské státy stanoví, že zpracování je zákonné, pouze pokud je nezbytné ke splnění úkolu prováděného příslušným orgánem pro účely stanovené v čl. 1 odst. 1 a v rozsahu nezbytném pro tyto účely a pokud má základ v právu Unie nebo členského státu.
2. Právo členského státu upravující zpracování v oblasti působnosti této směrnice stanoví alespoň cíle zpracování, osobní údaje, jež mají být zpracovány, a účely zpracování.
Článek 9
Zvláštní podmínky pro zpracování
1. Osobní údaje shromážděné příslušnými orgány pro účely uvedené v čl. 1 odst. 1 nesmějí být zpracovávány pro účely neuvedené v čl. 1 odst. 1, ledaže takové zpracování povoluje právo Unie nebo členského státu. Na zpracování osobních údajů pro tyto jiné účely se použije nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.
2. Pokud právo členského státu pověřuje příslušné orgány plněním jiných úkolů, než jsou úkoly pro účely uvedené v čl. 1 odst. 1, použije se na zpracování pro tyto účely, včetně pro účely archivace ve veřejném zájmu nebo pro vědecké, statistické či historické použití, nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.
3. Členské státy stanoví, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky pro zpracování, uvědomí tento orgán příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat.
4. Členské státy stanoví, že předávající příslušný orgán nepoužije na příjemce v jiných členských státech nebo na agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky podle odstavce 3 než ty, které platí pro obdobné předávání údajů uvnitř členského státu předávajícího příslušného orgánu.
Článek 10
Zpracování zvláštních kategorií osobních údajů
Zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, a zpracovaní genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby je povoleno pouze tehdy, pokud je zcela nezbytné, pokud existují vhodné záruky práv a svobod subjektu údajů a:
a) | pokud je povoleno právem Unie nebo členského státu; |
b) | na ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; nebo |
c) | pokud se týká údajů zjevně zveřejněných subjektem údajů. |
Článek 11
Automatizované individuální rozhodování
1. Členské státy stanoví, že rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie nebo členského státu, kterému správce podléhá a jež poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.
2. Rozhodnutí uvedená v odstavci 1 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v článku 10, pokud nejsou k dispozici vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.
3. Profilování, které vede k diskriminaci fyzických osob na základě zvláštních kategorií osobních údajů uvedených v článku 10, je v souladu s právem Unie zakázáno.
KAPITOLA III
Práva subjektu údajů
Článek 12
Sdělení a postupy pro výkon práv subjektu údajů
1. Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby subjektu údajů poskytl stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článku 13 a učinil veškerá sdělení s ohledem na články 11, 14 až 18 a 31 o zpracování. Informace jsou poskytovány jakýmikoliv vhodnými prostředky, a to i v elektronické formě. Obecně platí, že správce poskytne informace ve stejné podobě jako žádost.
2. Členské státy stanoví, že správce usnadňuje výkon práv subjektu údajů podle článků 11 a 14 až 18.
3. Členské státy stanoví, že správce písemně bez zbytečného odkladu informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.
4. Členské státy stanoví, že informace podle článku 13 a veškerá sdělení a veškeré úkony podle článků 11, 14 až 18 a 31 jsou poskytovány a činěny bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:
a) | uložit přiměřený poplatek zohledňující administrativní nákladů spojené s poskytnutím požadovaných informací nebo sdělení nebo učinění požadovaných úkonů; nebo |
b) | odmítnout žádosti vyhovět. |
Zjevnou nedůvodnost nebo nepřiměřenost žádosti v takových případech dokládá správce.
5. Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článku 14 nebo 16, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
Článek 13
Informace poskytované subjektu údajů
1. Členské státy stanoví, že správce poskytuje subjektu údajů alespoň:
a) | údaje o totožnosti a kontaktní údaje správce; |
b) | kontaktní údaje případného pověřence pro ochranu osobních údajů; |
c) | informace o účelech zpracování, pro které jsou osobní údaje určeny; |
d) | informace o právu podat stížnost u příslušného dozorovému úřadu a kontaktní údaje tohoto úřadu; |
e) | informace o existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení jejich zpracování. |
2. Členské státy právním předpisem stanoví, že ve zvláštních případech poskytne správce subjektu údajů vedle informací uvedených v odstavci 1 tyto další informace s cílem umožnit výkon jeho práv:
a) | právní základ zpracování; |
b) | dobu, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; |
c) | případné kategorie příjemců daných osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích; |
d) | v případě potřeby doplňující informace, zejména jsou-li osobní údaje sebrány bez vědomí subjektu údajů. |
3. Členské státy mohou přijmout legislativní opatření, aby poskytnutí informací subjektu údajů podle odstavce 2 odložily, omezily či od něho upustily, v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:
a) | zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů; |
b) | zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů; |
c) | chránit veřejnou bezpečnost; |
d) | chránit národní bezpečnost; |
e) | chránit práva a svobody druhých. |
4. Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se může plně nebo částečně vztahovat některé z písmen uvedených v odstavci 3.
Článek 14
Právo subjektu údajů na přístup k osobním údajům
S výhradou článku 15 členské státy stanoví, že subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a) | účely a právní základ zpracování; |
b) | kategorie dotčených osobních údajů; |
c) | příjemci nebo kategorie příjemců, kterým byly osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; |
d) | pokud možno předpokládaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; |
e) | existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování; |
f) | právo podat stížnost u dozorového úřadu a kontaktní údaje tohoto úřadu; |
g) | sdělení osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informací o jejich původu. |
Článek 15
Omezení práva na přístup
1. Členské státy mohou přijmout legislativní opatření, která přístup subjektů údajů k informacím úplně nebo částečně omezují v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:
a) | zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů; |
b) | zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů; |
c) | chránit veřejnou bezpečnost; |
d) | chránit národní bezpečnost; |
e) | chránit práva a svobody druhých. |
2. Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 1.
3. V případech uvedených v odstavcích 1 a 2 členské státy zajistí, aby správce bez zbytečného odkladu písemně informoval subjekt údajů o jakémkoli odmítnutí nebo omezení přístupu a o důvodech tohoto odmítnutí nebo omezení. Tyto informace není třeba uvádět, pokud by jejich poskytnutí ohrožovalo některý z účelů podle odstavce 1. Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.
4. Členské státy stanoví, že správce zdokumentuje věcné či právní důvody, na nichž se rozhodnutí zakládá. Tyto informace se zpřístupní dozorovým úřadům.
Článek 16
Právo na opravu nebo výmaz osobních údajů a omezení zpracování
1. Členské státy stanoví, že subjekt údajů má právo požadovat na správci opravu nepřesných osobních údajů, které se ho týkají, a to bez zbytečného odkladu. S přihlédnutím k účelům zpracování členské státy stanoví, že subjekt údajů má právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
2. Členské státy vyžadují po správci, aby vymazal osobní údaje bez zbytečného odkladu, a stanoví právo subjektu údajů požadovat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, jestliže zpracování porušuje předpisy přijaté na základě článku 4, 8 nebo 10 nebo jestliže osobní údaje musí být vymazány ke splnění právní povinnosti správce.
3. Namísto výmazu osobních údajů správce omezí zpracování:
a) | zpochybňuje-li subjekt údajů přesnost osobního údaje a nelze-li ji ověřit; nebo |
b) | musí-li být dané osobní údaje uchovány pro účely dokazování. |
Pokud je zpracování omezeno ve smyslu prvního pododstavce písm. a), informuje správce subjekt údajů před zrušením omezení zpracování.
4. Členské státy stanoví, že správce informuje subjekt údajů písemně o jakémkoli odmítnutí opravy či výmazu osobních údajů nebo omezení zpracování a o důvodech tohoto odmítnutí. Členské státy mohou přijmout legislativní opatření, která povinnost poskytnout tyto informace úplně nebo částečně omezují v takovém rozsahu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:
a) | zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů; |
b) | zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů; |
c) | chránit veřejnou bezpečnost; |
d) | chránit národní bezpečnost; |
e) | chránit práva a svobody druhých. |
Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.
5. Členské státy stanoví, že správce uvědomí o opravě nepřesných osobních údajů příslušný orgán, od nějž tyto nepřesné osobní údaje pocházejí.
6. Členské státy stanoví, že v případech, kdy byly osobní údaje opraveny nebo vymazány nebo zpracování bylo omezeno podle odstavců 1, 2 a 3, správce vyrozumí příjemce a příjemci tyto osobní údaje opraví či vymaží nebo omezí zpracování osobních údajů, za které odpovídají.
Článek 17
Výkon práv subjektem údajů a ověřování prováděná dozorovým úřadem
1. V případech uvedených v čl. 13 odst. 3, čl. 15 odst. 3 a čl. 16 odst. 4 členské státy přijmou opatření, která zajistí, aby práva subjektu údajů bylo možné vykonávat rovněž prostřednictvím příslušného dozorového úřadu.
2. Členské státy stanoví, že správce informuje subjekt údajů o možnosti vykonávat svá práva prostřednictvím dozorového úřadu podle odstavce 1.
3. V případě výkonu práva podle odstavce 1 informuje dozorový úřad subjekt údajů přinejmenším o tom, že provedl veškerá nezbytná ověření nebo přezkum. Dozorový úřad rovněž subjekt údajů informuje o jeho právu žádat soudní ochranu.
Článek 18
Práva subjektu údajů při trestním vyšetřování a řízení
Členské státy mohou stanovit, že se výkon práv uvedených v článcích 13, 14 a 16 provádí v souladu s právem členského státu, pokud jsou osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu nebo ve spisu zpracovávaném v průběhu trestního vyšetřování a řízení.
KAPITOLA IV
Správce a zpracovatel
Oddíl 1
Obecné povinnosti
Článek 19
Povinnosti správce
1. Členské státy stanoví, že správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s touto směrnicí. Tato opatření musí být podle potřeby revidována a aktualizována.
2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.
Článek 20
Záměrná a standardní ochrana osobních údajů
1. Členské státy stanoví, že správce s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky této směrnice a ochránil práva subjektů údajů.
2. Členské státy stanoví, že správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.
Článek 21
Společní správci
1. Členské státy stanoví, že dva nebo více správců, kteří společně stanoví účely a prostředky zpracování, jsou společnými správci. Ti mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za dodržování této směrnice, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článku 13, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, jemuž správci podléhají. V ujednání se určí kontaktní místo pro subjekty údajů. Členské státy mohou určit, který ze společných správců může působit jako jediné kontaktní místo, u kterého mohou subjekty údajů vykonávat svá práva.
2. Bez ohledu na podmínky ujednání uvedeného v odstavci 1 mohou členské státy stanovit, že subjekt údajů může vykonávat svá práva podle předpisů přijatých na základě této směrnice u každého ze správců i vůči každému z nich.
Článek 22
Zpracovatel
1. Členské státy stanoví, že v případě, že má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky této směrnice a aby byla zajištěna ochrana práv subjektu údajů.
2. Členské státy stanoví, že zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
3. Členské státy stanoví, že se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu zavazujícím zpracovatele vůči správci, v němž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
a) | jedná pouze podle pokynů správce; |
b) | zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti; |
c) | pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů; |
d) | podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo členského státu nevyžadují uložení osobních údajů; |
e) | poskytne správci veškeré informace potřebné k doložení souladu s tímto článkem; |
f) | dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 3. |
4. Smlouva nebo jiný právní akt uvedené v odstavci 3 musí být vyhotoveny písemně, a to i v elektronické formě.
5. Pokud zpracovatel poruší tuto směrnicí tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.
Článek 23
Zpracování z pověření správce nebo zpracovatele
Členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovat pouze podle pokynů správce, ledaže mu jejich zpracování ukládá právo Unie nebo členského státu.
Článek 24
Záznamy o činnostech zpracování
1. Členské státy stanoví, že správci vedou záznamy o všech kategoriích činností zpracování, za něž odpovídají. Tyto záznamy obsahují všechny tyto informace:
a) | jméno a kontaktní údaje správce a případného společného správce a pověřence pro ochranu osobních údajů; |
b) | účely zpracování; |
c) | kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; |
d) | popis kategorií subjektů údajů a kategorií osobních údajů; |
e) | případné použití profilování; |
f) | případné kategorie předávání osobních údajů do třetí země nebo mezinárodní organizaci; |
g) | uvedení právního základu operace zpracování, včetně předání, pro něž jsou osobní údaje určeny; |
h) | je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií osobních údajů; |
i) | je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1. |
2. Členské státy stanoví, že každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
a) | jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného pověřence pro ochranu osobních údajů; |
b) | kategorie zpracování prováděného pro každého ze správců; |
c) | informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, na výslovný pokyn správce, včetně identifikace této třetí země či mezinárodní organizace; |
d) | je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1. |
3. Záznamy uvedené v odstavcích 1 a 2 se vyhotovují písemně, a to i v elektronické formě.
Správce a zpracovatel je na požádání poskytnou dozorovému úřadu.
Článek 25
Vedení logů
1. Členské státy stanoví, že se v automatizovaných systémech zpracování vedou logy alespoň o těchto operacích zpracování: shromáždění, pozměnění, nahlédnutí a sdělení, včetně předání, zkombinování a výmazu. Logy o nahlédnutí a sdělení musí umožňovat zjištění důvodů těchto operací, datum a čas, kdy byly učiněny, a je-li to možné, totožnosti osoby, která do osobních údajů nahlédla nebo která je zpřístupnila, a totožnosti příjemců těchto osobních údajů.
2. Logy se používají pouze pro ověření zákonnosti zpracování, vlastní kontrolu, pro zajištění neporušenosti a zabezpečení osobních údajů a pro trestní řízení.
3. Správce a zpracovatel poskytnou tyto logy na požádání dozorovému úřadu.
Článek 26
Spolupráce s dozorovým úřadem
Členské státy stanoví, že správce a zpracovatel s dozorovým úřadem na požádání spolupracují při plnění jeho úkolů.
Článek 27
Posouzení vlivu na ochranu osobních údajů
1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, členské státy stanoví, že správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.
2. Posouzení uvedené v odstavci 1 obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k doložení souladu s touto směrnicí, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
Článek 28
Předchozí konzultace dozorového úřadu
1. Členské státy stanoví, že správce nebo zpracovatel konzultuje s dozorovým úřadem před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:
a) | z posouzení vlivu na ochranu osobních údajů podle článku 27 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika; nebo |
b) | druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů. |
2. Členské státy stanoví, že dozorový úřad je konzultován během přípravy návrhu legislativního opatření, který má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.
3. Členské státy stanoví, že dozorový úřad může sestavit seznam operací zpracování, které podléhají předchozí konzultaci podle odstavce 1.
4. Členské státy stanoví, že správce poskytne dozorovému úřadu posouzení vlivu na ochranu osobních údajů podle článku 27 a na požádání mu poskytne jakékoli další informace, jež dozorovému úřadu umožní posoudit soulad zpracování s touto směrnicí, a zejména posoudit rizika z hlediska ochrany osobních údajů subjektu údajů a související záruky.
5. Členské státy stanoví, že dozorový úřad v případě, že se domnívá, že by zamýšlené zpracování uvedené v odstavci 1 tohoto článku porušilo předpisy přijaté na základě této směrnice, zejména pokud správce nedostatečně určil či zmírnil riziko, na to upozorní správce a případně zpracovatele písemně ve lhůtě nejvýše šesti týdnů od obdržení žádosti o konzultaci a že může uplatnit kteroukoli ze svých pravomocí uvedených v článku 47. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o jeden měsíc. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci.
Oddíl 2
Zabezpečení osobních údajů
Článek 29
Zabezpečení zpracování
1. Členské státy stanoví, že správce a zpracovatel, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií osobních údajů uvedených v článku 10.
2. Pokud jde o automatizované zpracování, každý členský stát stanoví, že správce nebo zpracovatel provede po zhodnocení rizik opatření s cílem:
a) | zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“); |
b) | zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“); |
c) | zabránit neoprávněnému vkládání osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených osobních údajů („kontrola uložení“); |
d) | zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“); |
e) | zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracování měly přístup pouze k osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“); |
f) | zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů („kontrola přenosu“); |
g) | zajistit, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracování a kdo a kdy je do těchto systémů vložil („kontrola vkládání“); |
h) | zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů („kontrola přepravy“); |
i) | zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“); |
j) | zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“). |
Článek 30
Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu
1. Členské státy stanoví, že správce jakékoli porušení zabezpečení osobních údajů ohlásí dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
2. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.
3. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:
a) | popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; |
b) | jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace; |
c) | popis pravděpodobných důsledků porušení zabezpečení osobních údajů; |
d) | popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. |
4. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
5. Členské státy stanoví, že správce dokumentuje veškeré případy porušení zabezpečení osobních údajů uvedené v odstavci 1, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
6. Členské státy stanoví, že v případě, že se porušení zabezpečení údajů týká osobních údajů, které předal správce jiného členského státu nebo které byly takovému správci předány, musí být informace uvedené v odstavci 3 sděleny bez zbytečného odkladu správci tohoto členského státu.
Článek 31
Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Členské státy stanoví, že správce oznámí případy porušení zabezpečení osobních údajů bez zbytečného odkladu subjektu údajů, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
2. V oznámení subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 30 odst. 3 písm. b), c) a d).
3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
a) | správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování; |
b) | správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví; |
c) | vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření. |
4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušením bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.
5. Oznámení subjektu údajů podle odstavce 1 tohoto článku lze odložit, omezit či lze od něj upustit za podmínek uvedených v čl. 13 odst. 3 a z důvodů v něm stanovených.
Oddíl 3
Pověřenec pro ochranu osobních údajů
Článek 32
Určení pověřence pro ochranu osobních údajů
1. Členské státy stanoví, že správce určí pověřence pro ochranu osobních údajů. Členské státy mohou této povinnosti zprostit soudy a jiné nezávislé justiční orgány, pokud jednají v rámci svých justičních pravomocí.
2. Pověřenec pro ochranu osobních údajů musí být určen na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 34.
3. Pro několik příslušných orgánů může být, s ohledem na jejich organizační strukturu a velikost, určen jediný pověřenec pro ochranu osobních údajů.
4. Členské státy stanoví, že správce zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.
Článek 33
Postavení pověřence pro ochranu osobních údajů
1. Členské státy stanoví, že správce zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce podporuje pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 34 tím, že mu poskytuje zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
Článek 34
Úkoly pověřence pro ochranu osobních údajů
Členské státy stanoví, že správce pověří pověřence pro ochranu osobních údajů alespoň těmito úkoly:
a) | poskytovat informace a poradenství správci a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle této směrnice a dalších předpisů Unie nebo členských států v oblasti ochrany údajů; |
b) | monitorovat soulad s touto směrnicí, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů; |
c) | na požádání poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorovat jeho uplatňování podle článku 27; |
d) | spolupracovat s dozorovým úřadem; |
e) | působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 28, a případně vést konzultace v jakékoli jiné věci. |
KAPITOLA V
Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím
Článek 35
Obecné zásady pro předávání osobních údajů
1. Členské státy stanoví, že osobní údaje, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, včetně dalšího předávání do další třetí země nebo mezinárodní organizaci, předají příslušné orgány s výhradou dodržení předpisů přijatých na základě jiných ustanovení této směrnice a pouze tehdy, jsou-li splněny podmínky stanovené v této kapitole, totiž:
a) | dané předání je nutné pro účely uvedené v čl. 1 odst. 1; |
b) | osobní údaje jsou předány správci ve třetí zemi nebo v mezinárodní organizaci, který je orgánem příslušným pro účely stanovené v čl. 1 odst. 1; |
c) | v případě, že jsou předávány nebo zpřístupňovány osobní údaje z jiného členského státu, tento členský stát udělil předchozí povolení k předání v souladu se svým vnitrostátním právem; |
d) | Komise přijala rozhodnutí o odpovídající ochraně podle článku 36 nebo v případě, že takové rozhodnutí neexistuje, byly poskytnuty nebo existují vhodné záruky podle článku 37, nebo v případě, že neexistuje rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, uplatní se výjimky pro specifické situace podle článku 38; a |
e) | v případě dalšího předání do jiné třetí země nebo mezinárodní organizace příslušný orgán, který provedl původní předání, nebo jiný příslušný orgán téhož členského státu povolí takové další předání po zohlednění všech relevantních faktorů, včetně závažnosti trestného činu, účelu, pro který byly osobní údaje původně předány, a úrovně ochrany osobních údajů ve třetí zemi nebo mezinárodní organizaci, které jsou osobní údaje dále předávány. |
2. Členské státy stanoví, že předání osobních údajů bez předchozího povolení jiného členského státu podle odst. 1 písm. c) je přípustné pouze tehdy, pokud je nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi nebo podstatných zájmů členského státu, a předchozí povolení nelze včas získat. Orgán příslušný pro vydání předchozího povolení musí být neprodleně informován.
3. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zajištěná touto směrnicí nebyla znehodnocena.
Článek 36
Předání založené na rozhodnutí o odpovídající ochraně
1. Členské státy stanoví, že se předání osobních údajů do určité třetí země nebo určité mezinárodní organizaci může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.
2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména:
a) | právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně pravidel týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla pro ochranu údajů, profesní pravidla a bezpečnostní opatření, včetně pravidel pro další předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní či soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají; |
b) | existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a |
c) | mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů. |
3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný alespoň každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 58 odst. 2.
4. Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3.
5. Komise v případě, že z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, vyplyne, že určitá třetí země, určité území nebo jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.
V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 58 odst. 3 okamžitě použitelné prováděcí akty.
6. Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.
7. Členské státy stanoví, že rozhodnutím podle odstavce 5 není dotčeno předávání osobních údajů do dané třetí země, na dané území či jednomu nebo více konkrétním odvětvím v této třetí zemi nebo dané mezinárodní organizaci podle článků 37 a 38.
8. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam těch třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.
Článek 37
Předání založené na vhodných zárukách
1. Jestliže neexistuje rozhodnutí podle čl. 36 odst. 3, stanoví členské státy, že se předání osobních údajů do třetí země nebo mezinárodní organizaci může uskutečnit:
a) | pokud byly právně závazným nástrojem poskytnuty vhodné záruky ve vztahu k ochraně osobních údajů; nebo |
b) | pokud správce posoudil všechny okolnosti daného předání osobních údajů a dospěl k závěru, že ve vztahu k ochraně osobních údajů existují vhodné záruky. |
2. Správce informuje dozorový úřad o kategoriích předání podle odst. 1 písm. b).
3. Je-li předání osobních údajů založeno na odst. 1 písm. b), musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.
Článek 38
Výjimky pro specifické situace
1. Členské státy stanoví, že neexistuje-li rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, může se předání nebo kategorie předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze za podmínky, že jsou nezbytné:
a) | k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby; |
b) | k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává; |
c) | k tomu, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi; |
d) | v individuálních případech pro účely uvedené v čl. 1 odst. 1; nebo |
e) | v individuálním případě pro určení, výkon nebo obhajobu právních nároků v souvislosti s účely uvedenými v čl. 1 odst. 1. |
2. Osobní údaje se nepředají, pokud předávající příslušný orgán rozhodne, že základní práva a svobody dotčeného subjektu údajů převažují nad veřejným zájmem na předání uvedeným v odst. 1 písm. d) a e).
3. Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.
Článek 39
Předání osobních údajů příjemcům usazeným ve třetích zemích
1. Odchylně od čl. 35 odst. 1 písm. b) a aniž jsou dotčeny jakékoliv mezinárodní dohody uvedené v odstavci 2 tohoto článku, může právo Unie nebo členského státu stanovit, že příslušné orgány uvedené v čl. 3 bodě 7 písm. a) mohou v individuálních a zvláštních případech předat osobní údaje přímo příjemcům usazeným ve třetích zemích pouze tehdy, pokud je to v souladu s ostatními ustanoveními této směrnice a jsou splněny všechny tyto podmínky:
a) | předání je nezbytně nutné ke splnění úkolu příslušného předávajícího orgánu podle práva Unie nebo členského státu pro účely stanovené v čl. 1 odst. 1; |
b) | předávající příslušný orgán rozhodne, že nad veřejným zájmem vyžadujícím předání v daném případě nepřevažují žádná základní práva a svobody dotčeného subjektu údajů; |
c) | předávající příslušný orgán se domnívá, že předání orgánu příslušnému pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je neefektivní nebo nevhodné, zejména proto, že je nelze učinit včas; |
d) | orgán příslušný pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je bez zbytečného odkladu informován, ledaže to je neefektivní nebo nevhodné; |
e) | předávající příslušný orgán informuje příjemce o konkrétním účelu nebo účelech, pro něž může osobní údaje zpracovat, pokud je takové zpracování nutné. |
2. Mezinárodními dohodami uvedenými v odstavci 1 se rozumí jakékoliv platné dvoustranné nebo mnohostranné mezinárodní dohody mezi členskými státy a třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.
3. Předávající příslušný orgán informuje dozorový úřad o každém předání osobních údajů podle tohoto článku.
4. Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno.
Článek 40
Mezinárodní spolupráce v zájmu ochrany osobních údajů
Ve vztahu ke třetím zemím a mezinárodním organizacím podniknou Komise a členské státy vhodné kroky za účelem:
a) | rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné vymáhání právních předpisů na ochranu osobních údajů; |
b) | poskytování vzájemné pomoci na mezinárodní úrovni při vymáhání právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod; |
c) | zapojení příslušných zúčastněných stran do diskuse a činností zaměřených na prohlubování mezinárodní spolupráce při vymáhání právních předpisů na ochranu osobních údajů; |
d) | podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi. |
KAPITOLA VI
Nezávislé dozorové úřady
Oddíl 1
Nezávislost postavení
Článek 41
Dozorový úřad
1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování této směrnice s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen „dozorový úřad“).
2. Každý dozorový úřad přispívá k soudržnému uplatňování této směrnice v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.
3. Členské státy mohou stanovit, že dozorový úřad zřízený podle nařízení (EU) 2016/679 je dozorovým úřadem uvedeným v této směrnici a že plní úkoly dozorového úřadu, který má být zřízen podle odstavce 1 tohoto článku.
4. Pokud je v některém členském státě zřízen více než jeden dozorový úřad, určí tento členský stát dozorový úřad, jenž má tyto úřady zastupovat ve sboru.
Článek 42
Nezávislost
1. Každý členský stát stanoví, že každý dozorový úřad jedná při plnění svých úkolů a při výkonu svých pravomocí podle této směrnice zcela nezávisle.
2. Členské státy stanoví, že člen či členové jejich dozorového úřadu při plnění svých úkolů a výkonu svých pravomocí podle této směrnice musí být i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.
3. Členové dozorových úřadů členských států se zdrží jakéhokoliv jednání neslučitelného s jejich funkcí a během svého funkčního období nesmějí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.
4. Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit a vykonávat v rámci vzájemné pomoci, spolupráce a účasti ve sboru.
5. Každý členský stát zajistí, aby si každý dozorový úřad vybíral a měl své vlastní zaměstnance, kteří podléhají výlučně řízení členem či členy tohoto dozorového úřadu.
6. Každý členský stát zajistí, aby každý dozorový úřad podléhal finanční kontrole, která nijak neovlivní jeho nezávislost, a aby měl samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.
Článek 43
Obecné podmínky pro členy dozorového úřadu
1. Členské státy stanoví, že každý člen jejich dozorových úřadů je jmenován transparentním postupem:
— | parlamentem, |
— | vládou, |
— | hlavou státu nebo |
— | nezávislým subjektem, kterému toto jmenování svěří právo členského státu. |
2. Každý člen musí mít kvalifikaci, zkušenosti a dovednosti, zejména v oblasti ochrany osobních údajů, potřebné k plnění svých povinností a výkonu svých pravomocí.
3. Povinnosti člena končí uplynutím jeho funkčního období, odstoupením nebo povinným odchodem do důchodu v souladu s právem daného členského státu.
4. Člen může být odvolán pouze v případě závažného pochybení nebo pokud přestane splňovat podmínky pro plnění svých povinností.
Článek 44
Pravidla pro zřízení dozorového úřadu
1. Každý členský stát upraví právním předpisem všechny tyto záležitosti:
a) | zřízení každého dozorového úřadu; |
b) | kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu; |
c) | pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu; |
d) | délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 6. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování; |
e) | zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně; |
f) | podmínky, jimiž se řídí povinnosti člena nebo členů a zaměstnanců každého dozorového úřadu, zákaz jednání a pracovní činnosti a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání. |
2. Člen či členové a zaměstnanci každého dozorového úřadu jsou, v souladu s právem Unie nebo členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozvědí během plnění svých úkolů či výkonu svých pravomocí. Během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na ohlášení porušení této směrnice učiněná fyzickými osobami.
Oddíl 2
Příslušnost, úkoly a pravomoci
Článek 45
Příslušnost
1. Každý členský stát stanoví, že každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s touto směrnicí.
2. Každý členský stát stanoví, že žádný dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy v rámci svých soudních pravomocí. Členské státy mohou stanovit, že jejich dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí.
Článek 46
Úkoly
1. Každý členský stát stanoví, že každý dozorový úřad na jeho území:
a) | monitoruje a vymáhá uplatňování této směrnice a prováděcích opatření k ní; |
b) | zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám; |
c) | v souladu s právem členského státu poskytuje poradenství parlamentu, vládě a dalším orgánům a institucím svého členského státu ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním; |
d) | podporuje povědomí správců a zpracovatelů o jejich povinnostech podle této směrnice; |
e) | na požádání poskytuje všem subjektům údajů informace o výkonu jejich práv podle této směrnice a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech; |
f) | vyřizuje stížnosti, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 55, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o pokroku a o výsledku šetření, zejména v případech, kdy je zapotřebí dalšího šetření nebo koordinace s jiným dozorovým úřadem; |
g) | ověřuje zákonnost zpracování podle článku 17 a v přiměřené lhůtě informuje subjekt údajů o výsledku daného ověření podle odstavce 3 uvedeného článku nebo o důvodech, proč ověření nebylo provedeno; |
h) | s cílem zajistit soudržné uplatňování a vymáhání této směrnice spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc; |
i) | provádí šetření o uplatňování této směrnice, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci; |
j) | monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií; |
k) | poskytuje poradenství o operacích zpracování uvedených v článku 28 a |
l) | přispívá k činnostem sboru. |
2. Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.
3. Plnění úkolů každého dozorového úřadu je pro subjekty údajů a pro pověřence pro ochranu osobních údajů bezplatné.
4. Pokud je žádost zjevně nedůvodná nebo nepřiměřená, zejména proto, že je opakovaná, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.
Článek 47
Pravomoci
1. Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné vyšetřovací pravomoci. Tyto pravomoci zahrnují přinejmenším pravomoc získat od správce a zpracovatele přístup ke všem zpracovávaným osobním údajům a k veškerým informacím, které potřebuje k plnění svých úkolů.
2. Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné nápravné pravomoci, jako je například pravomoc:
a) | upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují předpisy přijaté na základě této směrnice; |
b) | nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s předpisy přijatými na základě této směrnice, a to případně předepsaným způsobem a ve stanovené lhůtě, zejména tím, že nařídí opravu nebo výmaz osobních údajů či omezení zpracování podle článku 16; |
c) | uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. |
3. Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné poradní pravomoci poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 28 a z vlastního podnětu nebo na požádání vydávat stanoviska určená svému parlamentu a své vládě nebo, v souladu se svým vnitrostátním právem, dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů.
4. Výkon pravomocí svěřených podle tohoto článku dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.
5. Každý členský stát právním předpisem stanoví, že každý dozorový úřad má pravomoc upozornit na porušení předpisů přijatých na základě této směrnice justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení předpisů přijatých na základě této směrnice.
Článek 48
Ohlašování porušení
Členské státy stanoví, že příslušné orgány zavedou účinné mechanismy s cílem podpořit důvěrné ohlašování porušení této směrnice.
Článek 49
Zprávy o činnosti
Každý dozorový úřad vypracovává výroční zprávy o své činnosti, které mohou obsahovat seznam druhů ohlášených porušení a druhů uložených sankcí. Tyto zprávy předkládá parlamentu a vládě svého členského státu a dalším orgánům určeným právem členského státu. Dále je zpřístupní veřejnosti, Komisi a sboru.
KAPITOLA VII
Spolupráce
Článek 50
Vzájemná pomoc
1. Každý členský stát stanoví, že si jeho dozorové úřady vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování této směrnice, a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná pomoc zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o provedení konzultací, inspekcí a šetření.
2. Každý členský stát stanoví, že každý dozorový úřad přijme veškerá vhodná opatření nutná k vyřízení žádosti jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději za jeden měsíc od obdržení žádosti. K těmto opatřením může patřit zejména předávání relevantních informací o průběhu šetření.
3. Žádosti o pomoc musí obsahovat všechny potřebné informace včetně svého účelu a důvodů. Vyměňované informace se použijí pouze pro účely, pro které byly vyžádány.
4. Dožádaný dozorový úřad nesmí odmítnout žádosti vyhovět, ledaže:
a) | není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo |
b) | vyhověním žádosti by došlo k porušení této směrnice nebo práva Unie či členského státu, kterému tento úřad podléhá. |
5. Dožádaný dozorový úřad informuje žádající dozorový úřad o výsledcích nebo případně o pokroku či opatřeních, jež byla přijata k vyřízení žádosti. Jestliže dožádaný dozorový úřad žádosti nevyhoví na základě odstavce 4, uvede důvody svého rozhodnutí.
6. Dožádané dozorové úřady poskytují informace, které po nich žádají jiné dozorové úřady, zpravidla v elektronické formě za použití standardizovaného formátu.
7. Dožádané dozorové úřady za žádné úkony, které provedou na základě žádosti o vzájemnou pomoc, neúčtují poplatky. Dozorové úřady se mohou dohodnout na pravidlech pro vzájemné odškodnění za zvláštní výdaje vyplývající z poskytnutí vzájemné pomoci ve výjimečných případech.
8. Komise může prostřednictvím prováděcích aktů určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak má probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.
Článek 51
Úkoly sboru
1. Sbor, zřízený nařízením (EU) 2016/679, plní v souvislosti se zpracováním v oblasti působnosti této směrnice všechny tyto úkoly:
a) | poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice; |
b) | prošetřuje z vlastního podnětu nebo na žádost některého ze svých členů nebo Komise veškeré otázky týkající se uplatňování této směrnice a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování této směrnice; |
c) | vypracovává pokyny pro dozorové úřady ohledně uplatňování opatření uvedených v čl. 47 odst. 1 a 3; |
d) | vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce k tomu, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 30 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce nebo zpracovatel povinni porušení ohlásit; |
e) | vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce, pokud jde o okolnosti, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 31 odst. 1; |
f) | přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenech b) a c); |
g) | poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo mezinárodní organizaci a pro posouzení, zda určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany; |
h) | podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady; |
i) | podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady, kterých se ve vhodných případech účastní i dozorové úřady třetích zemí nebo mezinárodních organizací; |
j) | podporuje výměnu znalostí a dokumentů o právu a praxi v oblasti ochrany údajů s dozorovými úřady pro ochranu údajů po celém světě. |
Pokud jde o první pododstavec písm. g), poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země, daným územím či konkrétním odvětvím v této třetí zemi nebo s danou mezinárodní organizací.
2. Jestliže Komise žádá sbor o poradenství, může uvést určitou lhůtu s přihlédnutím k naléhavosti dané záležitosti.
3. Sbor zasílá svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v čl. 58 odst. 1 a zveřejňuje je.
4. Komise informuje sbor o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy jím vydané.
KAPITOLA VIII
Právní ochrana, odpovědnost a sankce
Článek 52
Právo podat stížnost u dozorových úřadů
1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, stanoví členské státy, že každý subjekt údajů má právo podat stížnost u jediného dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů jsou porušeny předpisy přijaté na základě této směrnice.
2. Členské státy stanoví, že dozorový úřad, kterému byla podána stížnost, pro kterou není příslušný podle čl. 45 odst. 1, tuto stížnost postoupí bez zbytečného odkladu příslušnému dozorovému úřadu. Subjekt údajů je o postoupení informován.
3. Členské státy stanoví, že dozorový úřad, kterému byla stížnost podána, poskytne subjektu údajů na jeho žádost další pomoc.
4. Příslušný dozorový úřad informuje subjekt údajů o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti využít soudní ochranu podle článku 53.
Článek 53
Právo na účinnou soudní ochranu vůči dozorovému úřadu
1. Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, stanoví členské státy právo fyzické nebo právnické osoby na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.
2. Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle čl. 45 odst. 1, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 52 či o jeho výsledku.
3. Členské státy stanoví, že se řízení proti dozorovému úřadu zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.
Článek 54
Právo na účinnou soudní ochranu vůči správci nebo zpracovateli
Aniž je dotčena jakákoli dostupná správní nebo mimosoudní ochrana, včetně práva podat stížnost u dozorového úřadu podle článku 52, stanoví členské státy právo subjektu údajů na účinnou soudní ochranu, pokud má za to, že práva mu přiznaná předpisy přijatými na základě této směrnice byla porušena v důsledku zpracování jeho osobních údajů v rozporu s uvedenými předpisy.
Článek 55
Zastupování subjektů údajů
Členské státy v souladu s procesním právem členského státu stanoví, že subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež jsou činné v oblasti práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost a uplatnil práva uvedená v článcích 52, 53 a 54.
Článek 56
Právo na náhradu újmy
Členské státy stanoví, že kdokoli, kdo v důsledku protiprávní operace zpracování nebo jiného úkonu porušujícího předpisy přijaté na základě této směrnice utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo jiného orgánu příslušného podle práva členského státu náhradu utrpěné újmy.
Článek 57
Sankce
Členské státy stanoví pravidla pro sankce za porušení předpisů přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.
KAPITOLA IX
Prováděcí akty
Článek 58
Postup projednávání ve výboru
1. Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.
2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.
3. Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.
KAPITOLA X
Závěrečná ustanovení
Článek 59
Zrušení rámcového rozhodnutí 2008/977/SVV
1. Rámcové rozhodnutí 2008/977/SVV se zrušuje s účinkem ode dne 6. května 2018.
2. Odkazy na zrušené rámcové rozhodnutí uvedené v odstavci 1 se považují za odkazy na tuto směrnici.
Článek 60
Již platné právní akty Unie
Konkrétní ustanovení o ochraně osobních údajů obsažená v právních aktech Unie vstoupivších v platnost nejpozději 6. května 2016 v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, jež upravují zpracování mezi členskými státy a přístup určených orgánů členských států do informačních systémů zřízených podle Smluv v mezích působnosti této směrnice, zůstávají nedotčena.
Článek 61
Vztah k dříve uzavřeným mezinárodním dohodám v oblasti justiční spolupráce v trestních věcech a policejní spolupráce
Mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, které byly uzavřeny členskými státy před 6. květnem 2016 a jsou v souladu s právem Unie použitelným před uvedeným dnem, zůstávají v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.
Článek 62
Zprávy Komise
1. Do 6. května 2022 a poté každé čtyři roky předloží Komise Evropskému parlamentu a Radě zprávu o hodnocení a přezkumu této směrnice. Tyto zprávy se zveřejní.
2. V souvislosti s hodnoceními a přezkumy uvedenými v odstavci 1 Komise přezkoumá zejména uplatňování a fungování kapitoly V o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, se zvláštním zřetelem na rozhodnutí přijatá podle čl. 36 odst. 3 a článku 39.
3. Pro účely odstavců 1 a 2 může Komise požádat členské státy a dozorové úřady o informace.
4. Při provádění hodnocení a přezkumů uvedených v odstavcích 1 a 2 Komise zohlední stanoviska a zjištění Evropského parlamentu, Rady a dalších příslušných subjektů nebo zdrojů.
5. Komise v případě potřeby předloží vhodné návrhy na změnu této směrnice, zejména s přihlédnutím k vývoji informačních technologií a k pokroku v oblasti informační společnosti.
6. Komise do 6. května 2019 přezkoumá jiné právní akty přijaté Unií, které upravují zpracování příslušnými orgány pro účely stanovené v čl. 1 odst. 1, včetně aktů uvedených v článku 60, s cílem posoudit, zda je třeba je uvést do souladu s touto směrnicí, a pokud ano, předloží nezbytné návrhy na změnu těchto aktů tak, aby byl zaručen soudržný přístup k ochraně osobních údajů v oblasti působnosti této směrnice.
Článek 63
Provedení ve vnitrostátním právu
1. Členské státy do 6. května 2018 přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Znění těchto předpisů neprodleně sdělí Komisi. Použijí tyto předpisy ode dne 6. května 2018.
Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
2. Odchylně od odstavce 1 může členský stát stanovit, že automatizované systémy zpracování zavedené přede dnem 6. května 2016 se ve výjimečných případech, kdy to vyžaduje nepřiměřené úsilí, uvedou do souladu s čl. 25 odst. 1 do 6. května 2023.
3. Odchylně od odstavců 1 a 2 tohoto článku může členský stát ve výjimečných případech uvést konkrétní automatizovaný systém zpracování uvedený v odstavci 2 tohoto článku do souladu s čl. 25 odst. 1 ve stanovené lhůtě po uplynutí lhůty uvedené v odstavci 2 tohoto článku, pokud by to jinak způsobilo vážné obtíže pro provoz tohoto konkrétního automatizovaného systému zpracování. Dotyčný členský stát oznámí Komisi důvody těchto vážných obtíží i důvody pro stanovenou lhůtu, během níž uvede konkrétní automatizovaný systém zpracování do souladu s čl. 25 odst. 1. Stanovená lhůta v každém případě skončí nejpozději 6. května 2026.
4. Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.
Článek 64
Vstup v platnost
Tato směrnice vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.
Článek 65
Určení
Tato směrnice je určena členským státům.
V Bruselu dne 27. dubna 2016.
Za Evropský parlament
předseda
M. SCHULZ
Za Radu
předsedkyně
J.A. HENNIS-PLASSCHAERT
(1) Úř. věst. C 391, 18.12.2012, s. 127.
(2) Postoj Evropského parlamentu ze dne 12. března 2014 (dosud nezveřejněný v Úředním věstníku) a postoj Rady v prvním čtení ze dne 8. dubna 2016 (dosud nezveřejněný v Úředním věstníku). Postoj Evropského parlamentu ze dne 14. dubna 2016.
(3) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
(4) Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (Úř. věst. L 350, 30.12.2008, s. 60).
(5) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (viz strana 1 v tomto čísle Úředního věstníku).
(6) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).
(7) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).
(8) Společný postoj Rady 2005/69/SVV ze dne 24. ledna 2005 o výměně některých údajů s Interpolem (Úř. věst. L 27, 29.1.2005, s. 61).
(9) Rozhodnutí Rady 2007/533/SVV ze dne 12. června 2007 o zřízení, provozování a využívání Schengenského informačního systému druhé generace (SIS II) (Úř. věst. L 205, 7.8.2007, s. 63).
(10) Směrnice Rady 77/249/EHS ze dne 22. března 1977 o usnadnění účinného výkonu volného pohybu služeb advokátů (Úř. věst. L 78, 26.3.1977, s. 17).
(11) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).
(12) Rozhodnutí Rady 2008/615/SVV ze dne 23. června 2008 o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti (Úř. věst. L 210, 6.8.2008, s. 1).
(13) Akt Rady ze dne 29. května 2000, kterým se v souladu s článkem 34 Smlouvy o Evropské unii vypracovává Úmluva o vzájemné pomoci v trestních věcech mezi členskými státy Evropské unie (Úř. věst. C 197, 12.7.2000, s. 1).
(14) Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).
(15) Úř. věst. L 176, 10.7.1999, s. 36.
(16) Úř. věst. L 53, 27.2.2008, s. 52.
(17) Úř. věst. L 160, 18.6.2011, s. 21.
(18) Úř. věst. C 192, 30.6.2012, s. 7.
4.5.2016 | CS | Úřední věstník Evropské unie | L 119/132 |
SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/681
ze dne 27. dubna 2016
o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 82 odst. 1 písm. d) a čl. 87 odst. 2 písm. a) této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),
po konzultaci s Výborem regionů,
v souladu s řádným legislativním postupem (2),
vzhledem k těmto důvodům:
(1) | Dne 6. listopadu 2007 Komise přijala návrh rámcového rozhodnutí Rady o používání jmenné evidence cestujících (PNR) pro účely vymáhání práva. Po vstupu Lisabonské smlouvy v platnost dne 1. prosince 2009 se však návrh Komise, který v té době ještě nebyl přijat Radou, stal zastaralým. |
(2) | V dokumentu „Stockholmský program – otevřená a bezpečná Evropa, která slouží svým občanům a chrání je“ (3) je Komise vyzvána, aby předložila návrh na používání údajů PNR k prevenci, odhalování, vyšetřování a stíhání terorismu a závažné trestné činnosti. |
(3) | Komise nastínila řadu hlavních prvků politiky Unie v této oblasti ve sdělení ze dne 21. září 2010„O globálním přístupu k přenosům údajů jmenné evidence cestujících (PNR) do třetích zemí“. |
(4) | Směrnice Rady 2004/82/ES (4) upravuje předávání předběžných údajů o cestujících (údaje API) leteckými dopravci příslušným vnitrostátním orgánům s cílem zlepšit hraniční kontroly a bojovat proti nedovolenému přistěhovalectví. |
(5) | Cíle této směrnice jsou mimo jiné zajistit bezpečnost a ochránit život a bezpečí osob a vytvořit právní rámec pro ochranu údajů PNR, pokud jde o jejich zpracování příslušnými orgány. |
(6) | Účinné využívání údajů PNR, například porovnáním údajů PNR s různými databázemi hledaných osob a předmětů, je nezbytné pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, a tím pro zvýšení vnitřní bezpečnosti, k shromažďování důkazů a případně k nalezení spolupachatele a odhalení zločinecké sítě. |
(7) | Posouzení údajů PNR umožňuje identifikaci osob, které nebyly podezřelé z účasti na teroristických trestných činech nebo závažné trestné činnosti před tímto posouzením a které by měly být příslušnými orgány dále prověřeny. Používáním údajů PNR je možno reagovat na hrozbu teroristických trestných činů a závažné trestné činnosti z odlišné perspektivy než zpracováním jiných kategorií osobních údajů. Nicméně pro zajištění toho, aby údaje PNR byly i nadále zpracovávány v co nejomezenějším nezbytném rozsahu, by vytváření a používání kritérií pro posouzení mělo být omezeno na teroristické trestné činy a závažnou trestnou činnost, pro něž je použití takových kritérií relevantní. Kritéria pro posouzení by kromě toho měla být definována tak, aby byl počet nevinných osob nesprávně identifikovaných systémem co nejmenší. |
(8) | Letečtí dopravci již shromažďují a zpracovávají údaje PNR pro vlastní komerční účely. Tato směrnice by neměla ukládat povinnost leteckým dopravcům shromažďovat nebo uchovávat další údaje o cestujících ani povinnost cestujícím poskytovat další údaje kromě těch, které již leteckým dopravcům poskytují. |
(9) | Někteří letečtí dopravci si ponechávají údaje API, které shromažďují, jakožto součást údajů PNR, zatímco jiní tak nečiní. Přidaná hodnota využití údajů PNR spolu s údaji API spočívá v tom, že členským státům napomáhá při ověřování totožnosti osob, a tím posiluje hodnotu tohoto výsledku z hlediska vymáhání práva a snižuje riziko provádění kontrol a vyšetřování nevinných osob. Je proto důležité zajistit, aby letečtí dopravci v případech, kdy shromažďují údaje API, předávali tyto údaje bez ohledu na to, zda údaje API uchovávají odlišnými technickými prostředky, než jaké jsou použity pro ostatní údaje PNR. |
(10) | Pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti je zásadní, aby všechny členské státy zavedly předpisy, jež by leteckým dopravcům, kteří provozují lety mimo EU, ukládaly povinnost předávat shromážděné údaje PNR, včetně údajů API. Členské státy by měly mít možnost rozšířit tuto povinnost rovněž na letecké dopravce, kteří provozují lety uvnitř EU. Těmito předpisy by neměla být dotčena směrnice 2004/82/ES. |
(11) | Zpracovávání osobních údajů by mělo být přiměřené konkrétním bezpečnostním cílům, jež tato směrnice sleduje. |
(12) | Definice teroristických trestných činů používaná v této směrnici by měla být stejná jako v rámcovém rozhodnutí Rady 2002/475/SVV (5). Definice závažné trestné činnosti by měla zahrnovat kategorie trestných činů uvedených v příloze II této směrnice. |
(13) | V zájmu jasnosti a snížení nákladů pro letecké dopravce by údaje PNR měly být předávány jednomu určenému útvaru pro informace o cestujících v příslušném členském státě. Útvar pro informace o cestujících může mít v rámci jednoho členského státu několik poboček a několik členských států může rovněž společně zřídit jeden útvar pro informace o cestujících. Členské státy by si měly vzájemně vyměňovat informace prostřednictvím příslušných sítí pro výměnu informací s cílem usnadnit sdílení informací a zajistit interoperabilitu. |
(14) | Členské státy by měly nést náklady na používání, uchovávání a vzájemnou výměnu údajů PNR. |
(15) | Seznam údajů PNR, které mají být útvaru pro informace o cestujících poskytovány, je třeba vypracovat tak, aby odrážel legitimní požadavek veřejných orgánů na zajištění prevence, odhalování, vyšetřování a stíhání teroristických trestných činů nebo závažné trestné činnosti, čímž se zlepší vnitřní bezpečnost v rámci Unie a ochrání základní práva, zejména právo na soukromí a ochranu osobních údajů. Za tímto účelem by se měly uplatnit přísné standardy v souladu s Listinou základních práv Evropské unie (dále jen „Listina“), Úmluvou o ochraně osob se zřetelem na automatizované zpracování osobních údajů (dále jen „úmluva č. 108“) a Evropskou úmluvou o ochraně lidských práv a základních svobod (dále jen „EÚLP“). Tento seznam by neměl být založen na údajích o rasovém či etnickém původu, náboženském vyznání ani přesvědčení, politickém nebo jiném názoru, členství v odborových organizacích, zdraví, sexuálním životě nebo sexuální orientaci osoby. Údaje PNR by měly obsahovat pouze podrobné informace o rezervacích a cestovních trasách, které příslušným orgánům umožňují identifikovat ty cestující v letecké dopravě, kteří představují hrozbu pro vnitřní bezpečnost. |
(16) | V současné době jsou k dispozici dva možné způsoby předávání údajů: metoda „vytahování“, v jejímž rámci mohou příslušné orgány z členského státu, který údaje PNR požaduje, vstoupit do rezervačního systému leteckého dopravce a získat („vytáhnout“) opis požadovaných údajů PNR, a metoda „dodávání“, v jejímž rámci letečtí dopravci předají („dodají“) požadované údaje PNR orgánu, který je požaduje, což leteckým dopravcům umožňuje kontrolovat, jaké údaje jsou poskytovány. Má se za to, že metoda „dodávání“ nabízí vyšší úroveň ochrany údajů a měla by být povinná pro všechny letecké dopravce. |
(17) | Komise oceňuje pokyny Mezinárodní organizace pro civilní letectví (ICAO) týkající se údajů PNR. Tyto pokyny by tedy měly být základem pro přijímání podporovaných datových formátů pro předávání údajů PNR leteckými dopravci členským státům. Za účelem zajištění jednotných podmínek k provedení ustanovení týkajících se podporovaných datových formátů a příslušných protokolů platných pro předávání údajů leteckými dopravci by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (6). |
(18) | Členské státy by měly přijmout veškerá nezbytná opatření, aby leteckým dopravcům umožnily splnění jejich povinností podle této směrnice. Členské státy by měly pro letecké dopravce, kteří nesplní své povinnosti, pokud jde o předávání údajů PNR, stanovit účinné, přiměřené a odrazující sankce, včetně sankcí finančních. |
(19) | Každý členský stát by měl být odpovědný za posuzování potenciálních hrozeb spojených s teroristickými trestnými činy a závažnou trestnou činností. |
(20) | Vzhledem k tomu, že je třeba plně zohlednit právo na ochranu osobních údajů a právo nebýt diskriminován, by neměla být přijímána žádná rozhodnutí, která mají pro určitou osobu nepříznivé právní účinky nebo ji značně poškozují, pouze z důvodu automatizovaného zpracování údajů PNR. Žádné z těchto rozhodnutí by navíc s ohledem na články 8 a 21 Listiny nemělo představovat diskriminaci založenou na pohlaví, rase, barvě pleti, etnickém nebo sociálním původu, genetických rysech, jazyku, náboženském vyznání nebo přesvědčení, politických názorech či jakýchkoliv jiných názorech, příslušnosti k národnostní menšině, majetku, narození, zdravotním postižení, věku nebo sexuální orientaci. Komise by měla rovněž zohlednit tyto zásady při přezkumu uplatňování této směrnice. |
(21) | Výsledek zpracování údajů PNR by za žádných okolností neměl být členskými státy využíván jako důvod k obcházení jejich mezinárodních závazků vyplývajících z Úmluvy o právním postavení uprchlíků ze dne 28. července 1951 ve znění protokolu k této úmluvě ze dne 31. ledna 1967, ani by neměl být využíván k zamítání bezpečného a účinného legálního vstupu žadatelů o azyl na území Unie a uplatnění jejich práva na mezinárodní ochranu. |
(22) | Uplatňování této směrnice by mělo zajistit plné respektování základních práv, práva na soukromí a zásady proporcionality, a to při plném zohlednění zásad stanovených v nedávné příslušné judikatuře Soudního dvora Evropské unie. Rovněž by mělo být ve skutečném souladu s cíli nezbytnosti a přiměřenost, aby bylo dosaženo obecných zájmů uznaných Unií, a mělo by naplňovat potřebu ochrany práv a svobod ostatních v boji proti teroristickým trestným činům a závažné trestné činnosti. Uplatňování této směrnice by mělo být řádně odůvodněno a měly by být zavedeny nezbytné záruky, které zajistí zákonnost veškerého uchovávání, analýz, předávání a využívání údajů PNR. |
(23) | Členské státy by si měly mezi sebou a Europolem vyměňovat údaje PNR, které obdrží, pokud je to považováno za nezbytné z hlediska prevence, odhalování, vyšetřování nebo stíhání teroristických trestných činů nebo závažné trestné činnosti. Útvary pro informace o cestujících by případně měly neprodleně předat pro účely dalšího vyšetřování výsledek zpracování údajů PNR útvarům pro informace o cestujících jiných členských států. Ustanoveními této směrnice by neměly být dotčeny jiné nástroje Unie týkající se výměny informací mezi policií a dalšími donucovacími orgány a justičními orgány, včetně rozhodnutí Rady 2009/371/SVV (7) a rámcového rozhodnutí Rady 2006/960/SVV (8). Tato výměna údajů PNR by se měla řídit pravidly policejní a soudní spolupráce a neměla by poškozovat vysokou úroveň ochrany soukromí a osobních údajů, kterou vyžaduje Listina, úmluva č. 108 a EÚLP. |
(24) | Je třeba zajistit bezpečnou výměnu informací týkajících se údajů PNR mezi členskými státy, a to prostřednictvím stávajících kanálů pro spolupráci mezi příslušnými orgány členských států, a zejména s Europolem prostřednictvím jeho aplikace sítě pro bezpečnou výměnu informací (SIENA). |
(25) | Doba uchování údajů PNR by měla být doba nezbytná pro účely prevence, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti a měla by být těmto účelům přiměřená. Vzhledem k povaze údajů a jejich používání je nezbytné, aby byly údaje PNR uchovávány po dobu dostačující k provedení analýzy a k využití při vyšetřování. Aby se zabránilo nepřiměřenému využívání údajů, měly by být tyto údaje po uplynutí počáteční doby uchovávání depersonalizovány maskováním prvků údajů. Aby byla zaručena nejvyšší úroveň ochrany údajů, měl by být přístup k úplným údajům PNR, které umožňují přímou identifikaci subjektu údajů, povolen po uplynutí počáteční doby uchovávání pouze za velmi přísných a omezených podmínek. |
(26) | Pokud byly konkrétní údaje PNR předány příslušnému orgánu a jsou používány v rámci konkrétních vyšetřování trestných činů nebo stíhání, je třeba, aby se uchovávání těchto údajů příslušným orgánem řídilo vnitrostátním právem, a to bez ohledu na dobu uchování údajů stanovenou touto směrnicí. |
(27) | Zpracování údajů PNR v jednotlivých členských státech útvarem pro informace o cestujících a příslušnými orgány by se mělo řídit normami pro ochranu osobních údajů stanovenými vnitrostátním právem v souladu s rámcovým rozhodnutím Rady 2008/977/SVV (9) a se zvláštními požadavky na ochranu údajů stanovenými touto směrnicí. Odkazy na rámcové rozhodnutí 2008/977/SVV je třeba chápat jako odkazy na stávající platné právní předpisy i jako odkazy na právní předpisy, které je nahradí. |
(28) | S ohledem na právo na ochranu osobních údajů by měla být práva subjektů údajů týkající se zpracování jejich údajů PNR, jako je právo na přístup k těmto údajům, právo na jejich opravu, výmaz a omezení zpracování, jakož i právo na náhradu škody a právo na soudní přezkum, v souladu jak s rámcovým rozhodnutím 2008/977/SVV, tak i s vysokou úrovní ochrany zakotvenou v Listině a EÚLP. |
(29) | S přihlédnutím k právu cestujících být informováni o zpracování svých osobních údajů by členské státy měly zajistit, aby byly cestujícím poskytovány přesné, lehce dostupné a srozumitelné informace o shromažďování údajů PNR, o předávání těchto údajů útvaru pro informace o cestujících a o právech, která mají jako subjekty údajů. |
(30) | Touto směrnicí není dotčeno právo Unie ani vnitrostátní právo týkající se zásady přístupu veřejnosti k úředním dokumentům. |
(31) | Předávání údajů PNR členskými státy do třetích zemí by mělo být povolováno pouze v jednotlivých případech a mělo by probíhat v plném souladu s opatřeními přijatými členskými státy podle rámcového rozhodnutí 2008/977/SVV. Pro zajištění ochrany osobních údajů by toto předávání osobních údajů mělo podléhat dalším požadavkům ohledně účelu předávání. Mělo by podléhat rovněž zásadám nezbytnosti a zásadě vysoké úrovně ochrany v souladu s Listinou a EÚLP. |
(32) | Vnitrostátní orgán dohledu, který byl zřízen v rámci provádění rámcového rozhodnutí 2008/977/SVV, by měl rovněž odpovídat za poskytování poradenství a sledování, jak jsou předpisy přijaté členskými státy podle této směrnice uplatňovány. |
(33) | Tato směrnice nemá vliv na možnost členských států stanovit podle svého vnitrostátního práva systém pro shromažďování a zpracování údajů PNR od hospodářských subjektů, které nejsou leteckým dopravcem, jako jsou například cestovní agentury nebo kanceláře, které poskytují služby související s cestovním ruchem, včetně rezervací letů, pro jejichž účely shromažďují a zpracovávají údaje PNR, nebo od jiných dopravců, než jsou dopravci uvedení v této směrnici, a to za předpokladu, že je toto vnitrostátní právo v souladu s právem Unie. |
(34) | Touto směrnicí nejsou dotčena platná pravidla Unie týkající se způsobu provádění hraničních kontrol ani pravidla Unie upravující vstup na území a opuštění území Unie. |
(35) | V důsledku právních a technických rozdílů mezi vnitrostátními předpisy pro zpracování osobních údajů, včetně údajů PNR, se letečtí dopravci setkávají a budou setkávat s různými požadavky, pokud jde o kategorie informací, které mají být předávány, a o podmínky, za kterých tyto informace musí být poskytnuty příslušným vnitrostátním orgánům. Tyto rozdíly mohou bránit účinné spolupráci mezi příslušnými vnitrostátními orgány za účelem prevence, odhalování, vyšetřování a stíhání teroristických trestných činů nebo závažné trestné činnosti. Je proto nezbytné vytvořit společný právní rámec na úrovni Unie pro předávání údajů PNR a jejich zpracovávání. |
(36) | Tato směrnice respektuje základní práva a zásady Listiny, a zejména právo na ochranu osobních údajů, právo na soukromí a právo nebýt diskriminován, která jsou chráněna články 8, 7 a 21 Listiny, a měla by být odpovídajícím způsobem provedena. Tato směrnice je slučitelná se zásadami ochrany údajů a její ustanovení jsou v souladu s rámcovým rozhodnutím 2008/977/SVV. V zájmu dodržení zásady proporcionality ve zvláštních oblastech tato směrnice navíc stanoví přísnější pravidla ochrany údajů než rámcové rozhodnutí 2008/977/SVV. |
(37) | Oblast působnosti této směrnice je co nejvíce omezena, jelikož stanoví uchování údajů PNR u útvarů pro informace o cestujících po dobu nepřekračující pět let, po jejímž uplynutí by údaje měly být zlikvidovány; stanoví, že by údaje měly být depersonalizovány maskováním prvků údajů po počátečním období šesti měsíců a zakazuje shromažďování a používání citlivých údajů. Za účelem zajištění účinnosti a vysoké úrovně ochrany údajů, požaduje se, aby členské státy zajistily, aby za poskytování poradenství a sledování způsobu, jakým jsou údaje PNR zpracovány, odpovídal nezávislý vnitrostátní orgán dohledu, a zejména pracovník pro ochranu údajů. Veškeré zpracování údajů PNR by mělo být pro účely ověření jeho legality, interní kontroly a zajištění nezbytné neporušenosti a bezpečnosti zpracování údajů zaprotokolováno nebo zdokumentováno. Členské státy by měly rovněž zajistit, aby byli cestující o shromažďování údajů PNR a o svých právech jasně a přesně informováni. |
(38) | Jelikož cílů této směrnice, totiž předávání údajů PNR leteckými dopravci a zpracování těchto údajů pro účely prevence, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, nemůže být dosaženo uspokojivě členskými státy, ale spíše jich může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné k dosažení těchto cílů. |
(39) | V souladu s článkem 3 Protokolu (č. 21) o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, oznámily tyto členské státy své přání účastnit se přijímání a používání této směrnice. |
(40) | V souladu s články 1 a 2 Protokolu (č. 22) o postavení Dánska, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, se Dánsko neúčastní přijímání této směrnice a tato směrnice není pro Dánsko závazná ani použitelná. |
(41) | Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2011 (10) a vydal stanovisko dne 25. března 2011, |
PŘIJALY TUTO SMĚRNICI:
KAPITOLA I
Obecná ustanovení
Článek 1
Předmět a oblast působnosti
1. Tato směrnice upravuje:
a) | předávání údajů PNR leteckými dopravci na letech mimo EU, |
b) | zpracování údajů uvedených v písmenu a), včetně jejich shromažďování, používání a uchovávání členskými státy a vzájemné výměny mezi nimi. |
2. Údaje PNR shromážděné v souladu s touto směrnicí mohou být zpracovány pouze pro účely prevence, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, jak je stanoveno v čl. 6 odst. 2 písm. a), b) a c).
Článek 2
Použití této směrnice na lety uvnitř EU
1. Jestliže se členský stát rozhodne používat tuto směrnici na lety uvnitř EU, oznámí to písemně Komisi. Členský stát může toto oznámení učinit nebo odvolat kdykoliv. Komise toto oznámení a případné odvolání zveřejní v Úředním věstníku Evropské unie.
2. Pokud je učiněno oznámení uvedené v odstavci 1, použijí se všechna ustanovení této směrnice na lety uvnitř EU, jako by se jednalo o lety mimo EU, a na údaje PNR na letech uvnitř EU, jakoby se jednalo o údaje PNR na letech mimo EU.
3. Členský stát se může rozhodnout, že tuto směrnici bude uplatňovat pouze na vybrané lety uvnitř EU. V okamžiku přijetí tohoto rozhodnutí členský stát určí lety, které považuje za nezbytné pro dosažení cílů této směrnice. Členský stát se může kdykoliv rozhodnout změnit výběr takto určených letů uvnitř EU.
Článek 3
Definice
Pro účely této směrnice se rozumí:
1) | „leteckým dopravcem“ podnik letecké dopravy s platnou provozní licencí nebo rovnocenným dokladem, který mu umožňuje provozovat leteckou dopravu cestujících; |
2) | „letem mimo EU“ jakýkoliv plánovaný nebo neplánovaný let provozovaný leteckým dopravcem ze třetí země, jenž má přistát na území členského státu, nebo let odlétající z území členského státu, jenž má přistát ve třetí zemi, v obou případech včetně letů s mezipřistáním na území členských států nebo třetích zemí; |
3) | „letem uvnitř EU“ jakýkoliv plánovaný nebo neplánovaný let provozovaný leteckým dopravcem z území členského státu, jenž má přistát na území jednoho nebo několika jiných členských států bez mezipřistání na území třetí země; |
4) | „cestujícím“ každá osoba, včetně cestující na letech s přestupem a tranzitních letech, kromě členů posádky, která je nebo má být se souhlasem leteckého dopravce letecky přepravena, přičemž tento souhlas je vyjádřen zápisem této osoby na seznam cestujících; |
5) | „jmennou evidencí cestujících (dále jen „PNR“)“ evidence cestovních požadavků každého cestujícího, která obsahuje všechny potřebné informace, jež umožňují rezervujícím a zúčastněným leteckým dopravcům zpracovávat a kontrolovat rezervace u každé cesty rezervované kterýmkoliv cestujícím nebo jeho jménem bez ohledu na to, zda je uvedena v rezervačních systémech, kontrolních systémech odletů užívaných pro přihlášení cestujících k letu nebo jiných rovnocenných systémech poskytujících stejné funkce; |
6) | „rezervačním systémem“ vnitřní systémy leteckého dopravce, ve kterých jsou údaje PNR shromažďovány pro účely zpracování rezervací; |
7) | „metodou dodávání“ metoda, v jejímž rámci letečtí dopravci předávají údaje PNR uvedené v příloze I do databáze orgánu, který je požaduje; |
8) | „teroristickými trestnými činy“ trestné činy podle vnitrostátního práva uvedené v článcích 1 až 4 rámcového rozhodnutí 2002/475/SVV; |
9) | „závažným trestným činem“ trestný čin uvedený v příloze II, za který lze podle vnitrostátního práva členského státu uložit trest odnětí svobody nebo ochranné opatření spojené s odnětím svobody s horní hranicí trestní sazby v délce nejméně tří let; |
10) | „depersonalizací maskováním prvků údajů“ postup, kterým se určité prvky údajů, jež by mohly sloužit k přímé identifikaci subjektu údajů, pro uživatele zneviditelní. |
KAPITOLA II
Povinnosti členských států
Článek 4
Útvar pro informace o cestujících
1. Každý členský stát zřídí nebo určí orgán příslušný pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti či pobočku tohoto orgánu jako svůj „útvar pro informace o cestujících“.
2. Útvar pro informace o cestujících je odpovědný za:
a) | shromažďování údajů PNR od leteckých dopravců a uchovávání, zpracování a předávání těchto údajů nebo výsledků jejich zpracování příslušným orgánům uvedeným v článku 7; |
b) | výměnu údajů PNR a výsledků jejich zpracování s útvary pro informace o cestujících jiných členských států a s Europolem v souladu s články 9 a 10. |
3. Pracovníci útvaru pro informace o cestujících mohou být vysláni z příslušných orgánů. Členské státy poskytnou útvarům pro informace o cestujících odpovídající prostředky, aby mohly plnit své úkoly.
4. Dva nebo více členských států (dále jen „zúčastněné členské státy“) mohou zřídit nebo určit jediný orgán, který slouží jako jejich útvar pro informace o cestujících. Takový útvar pro informace o cestujících se zřídí v jednom ze zúčastněných členských států a je považován za vnitrostátní útvar pro informace o cestujících všech zúčastněných členských států. Zúčastněné členské státy se společně dohodnou na podrobných pravidlech pro provoz tohoto útvaru pro informace o cestujících a dodržují požadavky stanovené v této směrnici.
5. Do jednoho měsíce od zřízení útvaru pro informace o cestujících oznámí každý členský stát tuto skutečnost Komisi a může své oznámení kdykoliv změnit. Komise toto oznámení a jeho případné změny zveřejní v Úředním věstníku Evropské unie.
Článek 5
Pracovník pro ochranu údajů v rámci útvaru pro informace o cestujících
1. Útvar pro informace o cestujících jmenuje pracovníka pro ochranu údajů, který je odpovědný za sledování zpracování údajů PNR a dodržování příslušných záruk.
2. Členské státy poskytnou pracovníkům pro ochranu údajů příslušné prostředky, aby mohli účinně a nezávisle plnit své úkoly a povinnosti.
3. Členské státy zajistí, aby subjekty údajů měly právo obrátit se na pracovníka pro ochranu údajů jako na jednotné kontaktní místo ve všech záležitostech souvisejících se zpracováním svých údajů PNR.
Článek 6
Zpracování údajů PNR
1. Údaje PNR předávané leteckými dopravci jsou shromažďovány útvarem pro informace o cestujících příslušného členského státu, jak je stanoveno v článku 8. Pokud údaje PNR předávané leteckými dopravci obsahují jiné údaje než údaje uvedené v příloze I, útvar pro informace o cestujících tyto údaje po obdržení ihned a trvale zlikviduje.
2. Útvar pro informace o cestujících zpracovává údaje PNR pouze pro tyto účely:
a) | posuzování cestujících před jejich plánovaným příletem do nebo odletem z členského státu za účelem identifikace osob, u kterých je vyžadováno další prověření příslušnými orgány uvedenými v článku 7, případně Europolem podle článku 10, vzhledem k tomu, že tyto osoby mohou být zapojeny do teroristického trestného činu nebo závažného trestného činu. |
b) | reakce, na základě posouzení jednotlivých případů, po podání řádně zdůvodněné žádosti založené na dostatečných poznatcích příslušných orgánů o poskytnutí a zpracování údajů PNR v konkrétních případech za účelem prevence, odhalování, vyšetřování a stíhání teroristického trestného činu nebo závažného trestného činu nebo poskytnutí výsledků tohoto zpracování příslušným orgánům a případně Europolu; |
c) | analýza údajů PNR za účelem aktualizace nebo vytvoření nových kritérií, která mají být použita při posuzování prováděných podle odst. 3 písm. b) s cílem identifikovat osoby, které mohou být zapojeny do teroristického trestného činu nebo do závažného trestného činu. |
3. Při posuzování uvedeném v odst. 2 písm. a) může útvar pro informace o cestujících:
a) | porovnat údaje PNR s databázemi, jež mají význam z hlediska prevence, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, včetně databází hledaných osob nebo předmětů nebo osob a předmětů, o nichž byl proveden záznam, a to v souladu s pravidly Unie a mezinárodními i vnitrostátními pravidly platnými pro tyto databáze; nebo |
b) | zpracovat údaje PNR na základě předem stanovených kritérií. |
4. Jakékoliv posouzení cestujících před jejich plánovaným příletem do nebo odletem z členského státu na základě předem stanovených kritérií uvedených v odst. 3 písm. b) se provádí nediskriminačním způsobem. Tato předem stanovená kritéria musí být cílená, přiměřená a specifická. Členské státy zajistí, aby útvar pro informace o cestujících ve spolupráci s příslušnými orgány uvedenými v článku 7 stanovil a pravidelně přezkoumával tato kritéria. Tato kritéria nesmí být za žádných okolností založena na rasovém ani etnickém původu dané osoby, jejích politických názorech, náboženském či filozofickém přesvědčení, členství v odborových organizacích, zdraví, sexuálním životě nebo sexuální orientaci.
5. Členské státy zajistí, aby byl každý pozitivní výsledek automatizovaného zpracování údajů PNR provedeného podle odst. 2 písm. a) individuálně přezkoumán neautomatizovanými prostředky s cílem ověřit, zda je nezbytné, aby příslušný orgán podle článku 7 provedl určitý úkon podle vnitrostátního práva.
6. Útvar pro informace o cestujících daného členského státu předá údaje PNR osob identifikovaných podle odst. 2 písm. a) nebo výsledky zpracování těchto údajů k dalšímu prověření příslušným orgánům téhož členského státu uvedeným v článku 7. Tato předání mohou být provedena pouze na základě posouzení jednotlivých případů a v případě automatizovaného zpracování údajů PNR po individuálním přezkumu neautomatizovanými prostředky.
7. Členské státy zajistí, aby měl pracovník pro ochranu údajů přístup ke všem údajům zpracovávaným útvarem pro informace o cestujících. Má-li pracovník pro ochranu údajů za to, že zpracování jakéhokoliv údaje nebylo zákonné, může postoupit věc vnitrostátnímu orgánu dohledu.
8. Uchovávání, zpracování a analýza údajů PNR se provádí výhradně na zabezpečeném místě nebo místech na území členských států.
9. V důsledku posuzování cestujících podle odst. 2 písm. a) tohoto článku nesmí být ohroženo právo vstupu u osob, které požívají práva Unie na volný pohyb na území dotčeného členského státu, stanovené ve směrnici Evropského parlamentu a Rady 2004/38/ES (11). Důsledky těchto posouzení, prováděných u letů uvnitř EU mezi členskými státy, na které se vztahuje nařízení Evropského parlamentu a Rady (ES) č. 562/2006 (12), musí být kromě toho v souladu s uvedeným nařízením.
Článek 7
Příslušné orgány
1. Každý členský stát přijme seznam příslušných orgánů oprávněných požadovat nebo přijímat údaje PNR nebo výsledek zpracování těchto údajů od útvarů pro informace o cestujících s cílem tyto informace dále přezkoumat nebo přijmout vhodné opatření za účelem prevence, odhalování, vyšetřování a stíhání teroristických trestných činů nebo závažné trestné činnosti.
2. Orgány uvedené v odstavci 1 jsou orgány, které jsou příslušné k prevenci, odhalování, vyšetřování nebo stíhání teroristických trestných činů nebo závažné trestné činnosti.
3. Pro účely čl. 9 odst. 3 každý členský stát oznámí seznam svých příslušných orgánů Komisi do 25. května 2017, přičemž toto oznámení může kdykoliv změnit. Komise toto oznámení a veškeré jeho změny zveřejní v Úředním věstníku Evropské unie.
4. Údaje PNR a výsledek zpracování těchto údajů obdržené od útvaru pro informace o cestujících mohou být dále zpracovávány příslušnými orgány členských států pouze pro konkrétní účely prevence, odhalování, vyšetřování a stíhání teroristických trestných činů nebo závažné trestné činnosti.
5. Odstavcem 4 nejsou dotčeny vnitrostátní pravomoci v oblasti vymáhání práva a justice v případě, že dojde k odhalení jiných trestných činů nebo ke zjištění informací o nich v průběhu výkonu donucovacího opatření následujícího po takovém zpracování.
6. Příslušné orgány nepřijmou žádné rozhodnutí, které má pro osobu nepříznivé právní účinky nebo se jí závažným způsobem dotýká, pouze na základě automatizovaného zpracování údajů PNR. Taková rozhodnutí nejsou přijímána na základě rasového nebo etnického původu dané osoby, jejích politických názorů, náboženského či filozofického přesvědčení, členství v odborových organizacích, zdraví, sexuálního života nebo sexuální orientace.
Článek 8
Povinnosti leteckých dopravců týkající se předávání údajů
1. Členské státy přijmou nezbytná opatření, která zajistí, aby letečtí dopravci předávali metodou „dodávání“ údaje PNR uvedené v příloze I v rozsahu, v jakém je již shromáždili v průběhu své obvyklé činnosti, do databáze útvaru pro informace o cestujících toho členského státu, na jehož území bude let přistávat nebo z jehož území bude let zahájen. V případech, kdy je let označen sdíleným kódem mezi jedním nebo více leteckými dopravci, nese povinnost předávat údaje jmenné evidence o všech cestujících daného letu letecký dopravce, který let provozuje. V případech, kdy let mimo EU zahrnuje jedno či více mezipřistání na letištích členských států, předá letecký dopravce údaje jmenné evidence o všech cestujících útvarům pro informace o cestujících všech dotčených členských států. To platí i tehdy, když jedno či více mezipřistání na letištích různých členských států zahrnuje let uvnitř EU, avšak pouze ve vztahu ke členským státům, jež shromažďují údaje PNR na letech uvnitř EU.
2. V případě, že letečtí dopravci shromáždili údaje API uvedené v bodě 18 přílohy I, avšak neuchovávají je stejnými technickými prostředky jakými uchovávají ostatní údaje PNR, přijmou členské státy opatření nezbytná k zajištění toho, aby letečtí dopravci tyto údaje předali metodou „dodávání“ útvaru pro informace o cestujících členských států uvedených v odstavci 1. V případě takového předání se na tyto údaje API vztahují všechna ustanovení této směrnice.
3. Letečtí dopravci předávají údaje PNR elektronicky za použití společných protokolů a podporovaných datových formátů přijatých přezkumným postupem uvedeným v čl. 17 odst. 2, nebo, v případě technické poruchy, jakýmikoliv jinými vhodnými prostředky zajišťujícími odpovídající úroveň bezpečnosti:
a) | 24 až 48 hodin před plánovaným časem odletu; a |
b) | bezprostředně po uzavření letu, to znamená bezprostředně po nástupu cestujících na palubu letadla připraveného k odletu, kdy již není možné, aby cestující nastoupili na palubu nebo ji opustili. |
4. Členské státy leteckým dopravcům umožní, aby předání údajů podle odst. 3 písm. b) omezili na aktualizaci předání podle písm. a) uvedeného odstavce.
5. Je-li přístup k údajům PNR nezbytný za účelem reakce na konkrétní a skutečné ohrožení související s teroristickými trestnými činy nebo závažnou trestnou činností, předají letečtí dopravci v jednotlivých případech na žádost útvaru pro informace o cestujících v souladu s vnitrostátním právem údaje PNR i v jiných okamžicích, než jsou uvedeny v odstavci 3.
Článek 9
Výměna informací mezi členskými státy
1. Členské státy zajistí, aby u osob identifikovaných útvarem pro informace o cestujících v souladu s čl. 6 odst. 2 byly veškeré relevantní a nezbytné údaje PNR nebo výsledek jejich zpracování předány uvedeným útvarem pro informace o cestujících příslušným útvarům pro informace o cestujících ostatních členských států. Útvar pro informace o cestujících členského státu, který informace obdrží, je v souladu s čl. 6 odst. 6 předá svým příslušným orgánům.
2. Útvar pro informace o cestujících členského státu má právo požádat, pokud je to nezbytné, útvar pro informace o cestujících kteréhokoliv jiného členského státu, aby mu poskytl údaje PNR, které dožádaný útvar uchovává v databázi a které dosud nebyly depersonalizovány maskováním prvků údajů podle čl. 12 odst. 2, a, pokud je to nezbytné, výsledek jakéhokoliv zpracování těchto údajů, pokud již bylo provedeno podle čl. 6 odst. 2 písm. a). Tato žádost musí být řádně odůvodněna. Může vycházet z jakéhokoliv prvku údajů nebo z jejich kombinace, jak v daném případě uzná za vhodné dožadující útvar za účelem prevence, odhalování, vyšetřování nebo stíhání teroristických trestných činů nebo závažné trestné činnosti. Útvary pro informace o cestujících poskytnou požadované informace co možná nejdříve. Pokud byly požadované údaje depersonalizovány maskováním prvků údajů podle čl. 12 odst. 2, poskytne útvar pro informace o cestujících úplné údaje PNR pouze v případech, kdy lze důvodně předpokládat, že je to nezbytné pro účely uvedené v čl. 6 odst. 2 písm. b), a kdy k tomu byl zmocněn orgánem uvedeným v čl. 12 odst. 3 písm. b).
3. Příslušné orgány členského státu mohou přímo požádat útvar pro informace o cestujících kteréhokoliv jiného členského státu o poskytnutí údajů PNR, které jsou uchovávány v databázi dožádaného útvaru, pouze pokud je to nezbytné v naléhavých případech a za podmínek stanovených v odstavci 2. Žádosti podávané příslušnými orgány musí být odůvodněny. Kopie žádosti musí být vždy zaslána útvaru pro informace o cestujících dožadujícího členského státu. Ve všech dalších případech příslušné orgány podávají žádosti prostřednictvím útvaru pro informace o cestujících svého vlastního členského státu.
4. Výjimečně, je-li přístup k údajům PNR nezbytný za účelem reakce na konkrétní a skutečné ohrožení související s teroristickými trestnými činy nebo závažnou trestnou činností, má útvar pro informace o cestujících členského státu právo požádat útvar pro informace o cestujících jiného členského státu, aby získal údaje PNR v souladu s čl. 8 odst. 5 a poskytl je dožadujícímu útvaru pro informace o cestujících.
5. Výměna informací podle tohoto článku může probíhat s použitím jakýchkoliv stávajících kanálů spolupráce mezi příslušnými orgány členských států. Pro žádosti o informace a jejich výměnu se používá jazyk užívaný pro využitý kanál. Při oznamování podle čl. 4 odst. 5 členské státy sdělí Komisi podrobné údaje o kontaktních místech, kam mohou být žádosti zasílány v naléhavých případech. Komise sdělí tyto podrobné údaje členským státům.
Článek 10
Podmínky přístupu Europolu k údajům PNR
1. Europol je oprávněn požádat o údaje PNR nebo o výsledek zpracování těchto údajů od útvarů pro informace o cestujících členských států v mezích své působnosti a za účelem plnění svých úkolů.
2. Europol může pro každý jednotlivý případ podat útvaru pro informace o cestujících kteréhokoliv členského státu prostřednictvím národní jednotky Europolu řádně odůvodněnou elektronickou žádost o předání konkrétních údajů PNR nebo výsledku zpracování těchto údajů. Europol může podat tuto žádost, je-li to zcela nezbytné pro podporu a posílení činnosti členských států v oblasti prevence, odhalování a vyšetřování konkrétního teroristického trestného činu nebo závažného trestného činu a vztahuje-li se na tento trestný čin nebo závažný trestný čin působnost Europolu v souladu s rozhodnutím 2009/371/SVV. V žádosti jsou uvedeny opodstatněné důvody, na jejichž základě má Europol za to, že předání údajů PNR nebo výsledku jejich zpracování významně přispěje k prevenci, odhalování nebo vyšetřování dotčeného trestného činu.
3. Europol informuje o každé výměně informací podle tohoto článku pracovníka pro ochranu údajů jmenovaného v souladu s článkem 28 rozhodnutí 2009/371/SVV.
4. Výměna informací podle tohoto článku probíhá prostřednictvím aplikace SIENA a v souladu s rozhodnutím 2009/371/SVV. Pro žádosti o informace a jejich výměnu se používá jazyk užívaný pro aplikaci SIENA.
Článek 11
Předávání údajů třetím zemím
1. Údaje PNR i výsledky zpracování těchto údajů, které jsou uchovávány útvarem pro informace o cestujících v souladu s článkem 12, může členský stát předat třetí zemi pouze v rámci jednotlivého případu a pokud:
a) | jsou splněny podmínky stanovené v článku 13 rámcového rozhodnutí 2008/977/SVV; |
b) | je předání nezbytné pro účely této směrnice uvedené v čl. 1 odst. 2; |
c) | dotčená třetí země souhlasí s tím, že předá údaje další třetí zemi, pouze pokud je to zcela nezbytné pro účely této směrnice uvedené v čl. 1 odst. 2 a pouze s výslovným souhlasem daného členského státu; a |
d) | jsou splněny tytéž podmínky jako podmínky podle čl. 9 odst. 2. |
2. Bez ohledu na čl. 13 odst. 2 rámcového rozhodnutí 2008/977/SVV je předání údajů PNR bez předchozího souhlasu členského státu, z něhož jsou údaje obdrženy, povoleno ve výjimečných případech a pouze pokud:
a) | je takové předání nezbytné za účelem reakce na konkrétní a skutečné ohrožení členského státu nebo třetí země v souvislosti s teroristickými trestnými činy nebo závažnou trestnou činností; a |
b) | předchozí souhlas nelze včas získat. |
Orgán odpovědný za udělení souhlasu je neprodleně informován a předání je řádně zaznamenáno a podléhá následnému ověření.
3. Členské státy předávají údaje PNR příslušným orgánům třetích zemí pouze za podmínek, které jsou v souladu s touto směrnicí, a pouze poté, co si ověřily, že využití údajů PNR zamýšlené příjemci je v souladu s těmito podmínkami a zárukami.
4. Vždy, když členský stát předá údaje PNR podle tohoto článku, musí být informován pracovník pro ochranu údajů útvaru pro informace o cestujících tohoto členského státu.
Článek 12
Doba uchovávání údajů a depersonalizace
1. Členské státy zajistí, aby údaje PNR poskytnuté leteckými dopravci útvaru pro informace o cestujících byly uchovávány v databázi vedené útvarem pro informace o cestujících po dobu pěti let od jejich předání útvaru pro informace o cestujících členského státu, na jehož území let přistává nebo z něj odlétá.
2. Po uplynutí doby šesti měsíců od předání údajů PNR uvedeného v odstavci 1 jsou veškeré údaje PNR depersonalizovány maskováním níže uvedených prvků údajů, které by mohly sloužit k přímé identifikaci cestujícího, jehož se údaje PNR týkají:
a) | jméno (jména), včetně jmen dalších cestujících ve jmenné evidenci cestujících a počet cestujících v evidenci, kteří cestují společně; |
b) | adresa a kontaktní informace; |
c) | veškeré informace o způsobech platby včetně zúčtovací adresy, obsahují-li informace, jež by mohly sloužit k přímé identifikaci cestujícího, jehož se údaje PNR týkají, nebo jiných osob; |
d) | informace o věrnostním programu cestujícího; |
e) | obecné poznámky, pokud obsahují jakékoliv informace, které by mohly vést k přímé identifikaci cestujícího, jehož se údaje PNR týkají; a |
f) | jakékoliv shromážděné údaje API. |
3. Po uplynutí šestiměsíčního období uvedeného v odstavci 2 se povolí zpřístupnění úplných údajů PNR pouze pokud:
a) | lze důvodně předpokládat, že je to nezbytné pro účely čl. 6 odst. 2 písm. b) a |
b) | to schválí:
|
4. Členské státy zajistí, aby byly údaje PNR po uplynutí doby uvedené v odstavci 1 zlikvidovány trvale. Tato povinnost se netýká případů, kdy byly konkrétní údaje PNR předány příslušnému orgánu a jsou používány v rámci konkrétního případu pro účely prevence, odhalování, vyšetřování nebo stíhání teroristických trestných činů nebo závažné trestné činnosti; v takovém případě se uchovávání takových údajů příslušným orgánem řídí vnitrostátním právem.
5. Výsledky zpracování podle čl. 6 odst. 2 písm. a) uchovává útvar pro informace o cestujících pouze po dobu nezbytnou k tomu, aby mohl uvědomit příslušné orgány a v souladu s čl. 9 odst. 1 útvary pro informace o cestujících dalších členských států o pozitivním výsledku porovnání. Pokud se prostřednictvím individuálního přezkumu neautomatizovanými prostředky podle čl. 6 odst. 5 prokáže, že je výsledek automatizovaného zpracování negativní, může být přesto výsledek uchováván za účelem vyloučení budoucích „falešných“ pozitivních výsledků, a to tak dlouho, dokud podkladové údaje nejsou podle odstavce 4 tohoto článku zlikvidovány.
Článek 13
Ochrana osobních údajů
1. Každý členský stát stanoví, že pokud jde o zpracování osobních údajů podle této směrnice, mají všichni cestující stejné právo na ochranu svých osobních údajů, právo na přístup k těmto údajům, právo na jejich opravu, výmaz nebo omezení zpracování a právo na náhradu škody a právo na soudní přezkum, jak je stanoveno v právu Unie a ve vnitrostátním právu a v rámci provádění článků 17, 18, 19 a 20 rámcového rozhodnutí 2008/977/SVV. Uvedené články se tedy použijí.
2. Každý členský stát stanoví, že předpisy přijaté v rámci vnitrostátního práva při provádění článků 21 a 22 rámcového rozhodnutí 2008/977/SVV, pokud jde o důvěrnost zpracování a bezpečnost údajů, se vztahují také na veškeré zpracování osobních údajů podle této směrnice.
3. Touto směrnicí není dotčena použitelnost směrnice Evropského parlamentu a Rady 95/46/ES (13) na zpracování osobních údajů leteckými dopravci, zejména pokud jde o jejich povinnosti přijmout vhodná technická a organizační opatření na ochranu bezpečnosti a důvěrnosti osobních údajů.
4. Členské státy zakáží zpracování údajů PNR, které odhalují rasový nebo etnický původ dané osoby, její politické názory, náboženské či filozofické přesvědčení, členství v odborové organizaci, zdraví, sexuální život nebo sexuální orientaci. V případě, že útvar pro informace o cestujících obdrží údaje PNR, které tyto informace odhalují, jsou tyto informace okamžitě zlikvidovány.
5. Členské státy zajistí, aby útvar pro informace o cestujících vedl dokumentaci o všech systémech a postupech zpracování, za které nese odpovědnost. Tato dokumentace obsahuje alespoň:
a) | jméno a kontaktní informace organizace a pracovníků útvaru pro informace o cestujících, kteří jsou pověřeni zpracováním údajů PNR a informace o různých stupních přístupových oprávnění; |
b) | žádosti podané příslušnými orgány a útvary pro informace o cestujících jiných členských států; |
c) | všechny žádosti o předání a předání údajů PNR do třetí země. |
Útvar pro informace o cestujících zpřístupní na žádost veškerou dokumentaci vnitrostátnímu orgánu dohledu.
6. Členské státy zajistí, aby útvar pro informace o cestujících vedl záznamy alespoň o těchto úkonech zpracování: shromažďování, nahlížení, zpřístupnění a výmaz. V záznamech o nahlížení a zpřístupnění se uvádí zejména účel, datum a čas, kdy k takovým úkonům došlo, a je-li to možné, totožnost osoby, která do údajů PNR nahlížela nebo která je sdělovala, a totožnost příjemce těchto údajů. Tyto záznamy jsou využívány výhradně pro ověřování, vnitřní kontrolu a zajištění integrity a zabezpečení údajů nebo audit. Útvar pro informace o cestujících zpřístupní na požádání tyto záznamy vnitrostátnímu orgánu dohledu.
Tyto záznamy se uchovávají po dobu pěti let.
7. Členské státy zajistí, aby jejich útvar pro informace o cestujících zaváděl vhodná technická a organizační opatření a postupy, aby byla zajištěna vysoká míra bezpečnosti odpovídající rizikům, která představuje zpracování a povaha údajů PNR.
8. Členské státy zajistí, aby v případě, že narušení osobních údajů zřejmě povede k vysokému riziku pro ochranu osobních údajů nebo nepříznivě zasáhne soukromí subjektu údajů, oznámil útvar pro informace o cestujících narušení údajů bez zbytečného odkladu dotčenému subjektu údajů a vnitrostátnímu orgánu dohledu.
Článek 14
Sankce
Členské státy přijmou pravidla pro sankce za porušení vnitrostátních předpisů přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění, aby byly tyto sankce uplatňovány.
Členské státy zejména stanoví pravidla pro sankce, včetně finančních sankcí, pro letecké dopravce, kteří nepředávají údaje podle článku 8, nebo tak nečiní v požadovaném formátu.
Takto stanovené sankce musí být účinné, přiměřené a odrazující.
Článek 15
Vnitrostátní orgán dohledu
1. Každý členský stát stanoví, že vnitrostátní orgán dohledu uvedený v článku 25 rámcového rozhodnutí 2008/977/SVV je odpovědný za poskytování poradenství a sledování toho, jak jsou předpisy přijaté členskými státy podle této směrnice uplatňovány na jeho území. Použije se článek 25 rámcového rozhodnutí 2008/977/SVV.
2. Tyto vnitrostátní orgány dohledu vykonávají svou činnost podle odstavce 1 tak, aby byla chráněna základní práva týkající se zpracování osobních údajů.
3. Každý vnitrostátní orgán dohledu:
a) | se zabývá stížnostmi, jež předloží kterýkoliv subjekt údajů, vyšetří danou záležitost a v přiměřené lhůtě informuje subjekt údajů o pokroku v řešení stížnosti a o jeho výsledku; |
b) | ověřuje zákonnost zpracování údajů, provádí šetření, inspekce a audity v souladu s vnitrostátním právem, a to z vlastního podnětu či na základě stížnosti uvedené v písmenu a). |
4. Je-li o to požádán, každý vnitrostátní orgán dohledu poskytuje kterémukoliv subjektu údajů poradenství při výkonu práv vyplývajících z předpisů přijatých na základě této směrnice.
KAPITOLA III
Prováděcí pravidla
Článek 16
Společné protokoly a podporované datové formáty
1. Veškeré předávání údajů PNR leteckými dopravci útvarům pro informace o cestujících pro účely této směrnice se provádí elektronicky s dostatečnými zárukami, pokud jde o technická bezpečnostní a organizační opatření, jimiž se řídí zpracování, jež má být provedeno. V případě technické závady je možné předat údaje PNR jakýmikoliv jinými vhodnými prostředky, pokud je zachována stejná úroveň bezpečnosti a je to plně v souladu s právem Unie v oblasti ochrany údajů.
2. Po uplynutí doby jednoho roku ode dne, kdy Komise poprvé v souladu s odstavcem 3 přijala společné protokoly a podporované datové formáty, probíhá veškeré předávání údajů PNR leteckými dopravci útvarům pro informace o cestujících pro účely této směrnice elektronicky za použití bezpečných metod v souladu s těmito schválenými společnými protokoly. Tyto protokoly jsou společné pro všechna předávání, aby byla zajištěna bezpečnost údajů PNR v průběhu jejich předávání. Údaje PNR se předávají v podporovaných datových formátech, aby byla zajištěna jejich čitelnost pro všechny zúčastněné strany. Každý letecký dopravce je povinen zvolit si společný protokol a datový formát, které má v úmyslu pro předávání používat, a uvědomit o nich útvar pro informace o cestujících.
3. Seznam společných protokolů a podporovaných datových formátů vypracuje a v případě potřeby upraví Komise prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 17 odst. 2.
4. Odstavec 1 se použije po dobu, dokud nejsou k dispozici společné protokoly a podporované datové formáty uvedené v odstavcích 2 a 3.
5. Do jednoho roku ode dne přijetí společných protokolů a podporovaných datových formátů uvedených v odstavci 2 zajistí každý členský stát, aby byla přijata nezbytná technická opatření umožňující použití těchto společných protokolů a datových formátů.
Článek 17
Postup projednávání ve výboru
1. Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.
2. Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.
Nevydá-li výbor své stanovisko, Komise návrh prováděcího aktu nepřijme a použije se čl. 5 odst. 4 třetí pododstavec nařízení (EU) č. 182/2011.
KAPITOLA IV
Závěrečná ustanovení
Článek 18
Provedení
1. Členské státy uvedou v účinnost právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí do 25. května 2018. Neprodleně sdělí Komisi jejich znění.
Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.
2. Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátního práva, které přijmou v oblasti působnosti této směrnice.
Článek 19
Přezkum
1. Na základě informací poskytnutých členskými státy, včetně statistických informací uvedených v čl. 20 odst. 2, provede Komise do 25. května 2020 přezkum všech prvků této směrnice a předloží a představí zprávu Evropskému parlamentu a Radě.
2. Při provádění přezkumu věnuje Komise zvláštní pozornost:
a) | dodržování platných standardů ochrany osobních údajů; |
b) | nezbytnosti a přiměřenosti shromažďování a zpracování údajů PNR pro účely stanovené v této směrnici; |
c) | délce doby uchovávání údajů; |
d) | účinnosti výměny informací mezi členskými státy a |
e) | kvalitě posouzení, a to i s ohledem na statistické informace shromážděné podle článku 20. |
3. Zpráva uvedená v odstavci 1 rovněž zahrnuje přezkum týkající se nezbytnosti, přiměřenosti a účinnosti shromažďování, včetně v oblasti působnosti této směrnice, povinného předávání údajů PNR, pokud jde o všechny nebo o vybrané lety uvnitř EU. Komise zohlední zkušenosti získané členskými státy, zejména těmi, které uplatňují tuto směrnici na lety uvnitř EU podle článku 2. Zpráva rovněž posoudí nezbytnost začlenění hospodářských subjektů, které nejsou leteckými dopravci, jako jsou například cestovní agentury nebo kanceláře, které poskytují služby související s cestovním ruchem, včetně rezervací letů, do oblasti působnosti této směrnice.
4. Komise případně s ohledem na přezkum provedený podle tohoto článku předloží Evropskému parlamentu a Radě legislativní návrh na změnu této směrnice.
Článek 20
Statistické údaje
1. Členské státy Komisi každoročně poskytnou soubor statistických informací o údajích PNR poskytnutých útvarům pro informace o cestujících. Tyto statistiky nesmí obsahovat osobní údaje.
2. Statistiky musí zahrnovat alespoň:
a) | celkový počet cestujících, jejichž údaje PNR byly shromážděny a byly předmětem výměny; |
b) | počet cestujících, u nichž bylo rozhodnuto o dalším přezkumu. |
Článek 21
Vztah k jiným nástrojům
1. Členské státy mohou nadále používat dvoustranné nebo mnohostranné dohody či vzájemná ujednání o výměně informací mezi příslušnými orgány platné ke dni 24. května 2016, pokud jsou tyto dohody nebo ujednání slučitelné s touto směrnicí.
2. Touto směrnicí není dotčena použitelnost směrnice 95/46/ES na zpracování osobních údajů leteckými dopravci.
3. Touto směrnicí nejsou dotčeny povinnosti a závazky členských států nebo Unie plynoucí z dvoustranných nebo mnohostranných dohod se třetími zeměmi.
Článek 22
Vstup v platnost
Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Tato směrnice je určena členským státům v souladu se Smlouvami.
V Bruselu dne 27. dubna 2016.
Za Evropský parlament
předseda
M. SCHULZ
Za Radu
předsedkyně
J.A. HENNIS-PLASSCHAERT
(1) Úř. věst. C 218, 23.7.2011, s. 107.
(2) Postoj Evropského parlamentu ze dne 14. dubna 2016 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 21. dubna 2016.
(3) Úř. věst. C 115, 4.5.2010, s. 1.
(4) Směrnice Rady 2004/82/ES ze dne 29. dubna 2004 o povinnosti dopravců předávat údaje o cestujících (Úř. věst. L 261, 6.8.2004, s. 24).
(5) Rámcové rozhodnutí Rady 2002/475/SVV ze dne 13. června 2002 o boji proti terorismu (Úř. věst. L 164, 22.6.2002, s. 3).
(6) Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).
(7) Rozhodnutí Rady 2009/371/SVV ze dne 6. dubna 2009 o zřízení Evropského policejního úřadu (Europol) (Úř. věst. L 121, 15.5.2009, s. 37).
(8) Rámcové rozhodnutí Rady 2006/960/SVV ze dne 18. prosince 2006 o zjednodušení výměny operativních a jiných informací mezi donucovacími orgány členských států Evropské unie (Úř. věst. L 386, 29.12.2006, s. 89).
(9) Rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech (Úř. věst. L 350, 30.12.2008, s. 60).
(10) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).
(11) Směrnice Evropského parlamentu a Rady 2004/38/ES ze dne 29. dubna 2004 o právu občanů Unie a jejich rodinných příslušníků svobodně se pohybovat a pobývat na území členských států, o změně nařízení (EHS) č. 1612/68 a o zrušení směrnic 64/221/EHS, 68/360/EHS, 72/194/EHS, 73/148/EHS, 75/34/EHS, 75/35/EHS, 90/364/EHS, 90/365/EHS a 93/96/EHS (Úř. věst. L 158, 30.4.2004, s. 77).
(12) Nařízení Evropského parlamentu a Rady (ES) č. 562/2006 ze dne 15. března 2006, kterým se stanoví kodex Společenství o pravidlech upravujících přeshraniční pohyb osob (Schengenský hraniční kodex) (Úř. věst. L 105, 13.4.2006, s. 1).
(13) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).
PŘÍLOHA I
Údaje PNR shromažďované leteckými dopravci
1. | Lokalizační záznam PNR |
2. | Datum rezervace/vystavení letenky |
3. | Datum (data) zamýšlené cesty |
4. | Jméno (jména) |
5. | Adresa a kontaktní informace (telefonní číslo, e-mailová adresa) |
6. | Veškeré informace o způsobech platby, včetně zúčtovací adresy |
7. | Úplná trasa pro jednotlivý záznam ve jmenné evidenci cestujících |
8. | Informace o věrnostním programu cestujícího |
9. | Cestovní agentura nebo zprostředkovatel |
10. | Situace cestujícího včetně potvrzení odletu, odbavení, informací o případech, kdy se cestující nedostavil k odletu nebo kdy se cestující dostavil na letiště bez rezervace |
11. | Rozčleněné nebo rozdělené informace PNR |
12. | Obecné poznámky (včetně všech dostupných informací o nezletilých osobách mladších 18 let bez doprovodu, jako jsou jméno a pohlaví nezletilé osoby, věk, jazyk (jazyky), kterým (kterými) hovoří, jméno a kontaktní údaje opatrovníka při odletu a vztah k nezletilému, jméno a kontaktní údaje opatrovníka při příletu a vztah k nezletilému, zprostředkovatel při odletu a příletu) |
13. | Informace o vystavení letenky, včetně čísla letenky, data vystavení letenky a jednosměrných letenek, a obsah rubrik ATFQ (Automated Ticket Fare Quote) |
14. | Číslo sedadla a jiné informace o sedadle |
15. | Informace o sdílení kódů |
16. | Veškeré informace o zavazadlech |
17. | Počet a další jména cestujících v rámci jednoho záznamu PNR |
18. | Veškeré shromážděné údaje API (včetně typu, čísla, země vydání a data pozbytí platnosti dokladu totožnosti, státní příslušnosti, příjmení, jména, pohlaví, data narození, letecké společnosti, čísla letu, data odletu, data příletu, místa odletu, mísao příletu, času odletu a času příletu) |
19. | Všechny předchozí změny záznamů PNR uvedených pod body 1 až 18. |
PŘÍLOHA II
Seznam trestných činů podle čl. 3 bodu 9
1. | účast na zločinném spolčení, |
2. | obchodování s lidmi, |
3. | pohlavní vykořisťování dětí a dětská pornografie, |
4. | nedovolený obchod s omamnými a psychotropními látkami, |
5. | nedovolený obchod se zbraněmi, střelivem a výbušninami, |
6. | korupce, |
7. | podvod, včetně podvodu proti finančním zájmům Unie, |
8. | praní výnosů z trestné činnosti a padělání peněz, včetně eura |
9. | počítačová trestná činnost/kyberkriminalita, |
10. | trestné činy proti životnímu prostředí, včetně nedovoleného obchodu s ohroženými druhy živočichů a ohroženými druhy a odrůdami rostlin, |
11. | napomáhání při nedovoleném překročení státní hranice a nedovoleném pobytu, |
12. | vražda, těžké ublížení na zdraví, |
13. | nedovolený obchod s lidskými orgány a tkáněmi, |
14. | únos, omezování osobní svobody a braní rukojmí, |
15. | organizovaná a ozbrojená loupež, |
16. | nedovolený obchod s kulturními statky, včetně starožitností a uměleckých děl, |
17. | padělání a produktové pirátství, |
18. | padělání veřejných listin a obchod s nimi, |
19. | nedovolený obchod s hormonálními látkami a jinými prostředky na podporu růstu, |
20. | nedovolený obchod s jadernými a radioaktivními materiály, |
21. | znásilnění, |
22. | trestné činy spadající do pravomoci Mezinárodního trestního soudu, |
23. | únos letadla nebo plavidla, |
24. | sabotáž, |
25. | obchod s odcizenými vozidly, |
26. | průmyslová špionáž. |