(EU) 2016/680Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV

Publikováno: Úř. věst. L 119, 4.5.2016, s. 89-131 Druh předpisu: Směrnice
Přijato: 27. dubna 2016 Autor předpisu: Evropský parlament; Rada Evropské unie
Platnost od: 5. května 2016 Nabývá účinnosti: 5. května 2016
Platnost předpisu: Ano Pozbývá platnosti:
Konsolidované znění předpisu s účinností od 4. května 2016

Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.



Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu

►B

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680

ze dne 27. dubna 2016

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV

(Úř. věst. L 119 4.5.2016, s. 89)


Opravena:

►C1

Oprava, Úř. věst. L 127, 23.5.2018, s.  8 (2016/680)




▼B

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680

ze dne 27. dubna 2016

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV



KAPITOLA I

Obecná ustanovení

Článek 1

Předmět a cíle

1.  Tato směrnice stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

2.  Členské státy v souladu s touto směrnicí:

a) chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů, a

b) zajišťují, aby výměna osobních údajů příslušnými orgány uvnitř Unie, pokud je vyžadována právem Unie nebo členského státu, nebyla omezována ani zakazována z důvodů ochrany fyzických osob v souvislosti se zpracováním osobních údajů.

3.  Tato směrnice nebrání členským státům v tom, aby poskytovaly přísnější záruky ochrany práv a svobod subjektu údajů v souvislosti se zpracováním osobních údajů příslušnými orgány, než jaké stanoví tato směrnice.

Článek 2

Oblast působnosti

1.  Tato směrnice se vztahuje na zpracování osobních údajů příslušnými orgány pro účely uvedené v čl. 1 odst. 1.

2.  Tato směrnice se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

3.  Tato směrnice se nevztahuje na zpracování osobních údajů prováděné:

a) při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b) orgány, institucemi a jinými subjekty Unie.

Článek 3

Definice

Pro účely této směrnice se rozumějí:

1) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2) „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3) „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

4) „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

5) „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

6) „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

7) „příslušným orgánem“:

a) jakýkoliv orgán veřejné moci příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; nebo

b) jakýkoliv jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely prevence, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

8) „správcem“ příslušný orgán, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

9) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

10) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly pro ochranu údajů v souladu s účely zpracování;

11) „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů;

12) „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdravotním stavu a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

13) „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje její jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

14) „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

15) „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 41;

16) „mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.



KAPITOLA II

Zásady

Článek 4

Zásady zpracování osobních údajů

1.  Členské státy zajistí, aby byly osobní údaje:

a) zpracovávány zákonným a korektním způsobem;

b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nebyly zpracovávány způsobem, který je s těmito účely neslučitelný;

c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány;

d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření zajišťující, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které jsou zpracovávány, byly bezodkladně vymazány nebo opraveny;

e) uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

2.  Zpracování stejným nebo jiným správcem pro kterýkoli účel uvedený v čl. 1 odst. 1 jiný než účel, pro nějž byly osobní údaje shromážděny, je přípustné, pokud:

a) je správce oprávněn zpracovávat takové osobní údaje pro takový účel v souladu s právem Unie či členského státu a

b) je zpracování pro tento jiný účel nezbytné a přiměřené v souladu s právem Unie či členského státu.

3.  Zpracování stejným nebo jiným správcem může zahrnovat archivaci ve veřejném zájmu či vědecké, statistické či historické použití pro účely uvedené v čl. 1 odst. 1, s výhradou vhodných záruk pro práva a svobody subjektů údajů.

4.  Správce odpovídá za dodržení odstavců 1, 2 a 3 a musí být schopen toto dodržení doložit.

Článek 5

Doba uložení osobních údajů a přezkum

Členské státy stanoví, že budou určeny přiměřené lhůty pro výmaz osobních údajů nebo pro pravidelný přezkum potřeby uložení osobních údajů. Jejich dodržování zajistí procesní opatření.

Článek 6

Rozlišování mezi různými kategoriemi subjektů údajů

Členské státy stanoví, že správce, v příslušných případech a pokud je to možné, musí jasně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, například:

a) osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat;

b) osob odsouzených za trestný čin;

c) osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a

d) třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b).

Článek 7

Rozlišování mezi osobními údaji a ověřování jejich kvality

1.  Členské státy stanoví, že se pokud možno rozlišují osobní údaje založené na skutečnostech od osobních údajů založených na osobních hodnoceních.

2.  Členské státy stanoví, že příslušné orgány učiní veškerá rozumná opatření s cílem zajistit, aby nebyly předávány ani zpřístupňovány osobní údaje, které jsou nepřesné, neúplné nebo již nejsou aktuální. Za tímto účelem každý příslušný orgán ověří, pokud je to proveditelné, kvalitu osobních údajů před jejich předáním nebo zpřístupněním. Při každém předání osobních údajů se k nim pokud možno doplní nezbytné informace, jež umožní přijímajícímu příslušnému orgánu zhodnotit míru jejich přesnosti, úplnosti, spolehlivosti a aktuálnosti.

3.  Zjistí-li se, že došlo k předání nesprávných osobních údajů nebo že údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být osobní údaje opraveny nebo vymazány nebo být omezeno zpracování v souladu s článkem 16.

Článek 8

Zákonnost zpracování

1.  Členské státy stanoví, že zpracování je zákonné, pouze pokud je nezbytné ke splnění úkolu prováděného příslušným orgánem pro účely stanovené v čl. 1 odst. 1 a v rozsahu nezbytném pro tyto účely a pokud má základ v právu Unie nebo členského státu.

2.  Právo členského státu upravující zpracování v oblasti působnosti této směrnice stanoví alespoň cíle zpracování, osobní údaje, jež mají být zpracovány, a účely zpracování.

Článek 9

Zvláštní podmínky pro zpracování

1.  Osobní údaje shromážděné příslušnými orgány pro účely uvedené v čl. 1 odst. 1 nesmějí být zpracovávány pro účely neuvedené v čl. 1 odst. 1, ledaže takové zpracování povoluje právo Unie nebo členského státu. Na zpracování osobních údajů pro tyto jiné účely se použije nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.

2.  Pokud právo členského státu pověřuje příslušné orgány plněním jiných úkolů, než jsou úkoly pro účely uvedené v čl. 1 odst. 1, použije se na zpracování pro tyto účely, včetně pro účely archivace ve veřejném zájmu nebo pro vědecké, statistické či historické použití, nařízení (EU) 2016/679, ledaže se zpracování provádí v rámci činností, které nespadají do oblasti působnosti práva Unie.

3.  Členské státy stanoví, že v případech, kdy právo Unie nebo členského státu použitelné pro předávající příslušný orgán stanoví zvláštní podmínky pro zpracování, uvědomí tento orgán příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat.

4.  Členské státy stanoví, že předávající příslušný orgán nepoužije na příjemce v jiných členských státech nebo na agentury, úřady a jiné subjekty zřízené podle hlavy V kapitol 4 a 5 Smlouvy o fungování EU jiné podmínky podle odstavce 3 než ty, které platí pro obdobné předávání údajů uvnitř členského státu předávajícího příslušného orgánu.

Článek 10

Zpracování zvláštních kategorií osobních údajů

Zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, a zpracovaní genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby je povoleno pouze tehdy, pokud je zcela nezbytné, pokud existují vhodné záruky práv a svobod subjektu údajů a:

a) pokud je povoleno právem Unie nebo členského státu;

b) na ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; nebo

c) pokud se týká údajů zjevně zveřejněných subjektem údajů.

Článek 11

Automatizované individuální rozhodování

1.  Členské státy stanoví, že rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie nebo členského státu, kterému správce podléhá a jež poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.

2.  Rozhodnutí uvedená v odstavci 1 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v článku 10, pokud nejsou k dispozici vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů.

3.  Profilování, které vede k diskriminaci fyzických osob na základě zvláštních kategorií osobních údajů uvedených v článku 10, je v souladu s právem Unie zakázáno.



KAPITOLA III

Práva subjektu údajů

Článek 12

Sdělení a postupy pro výkon práv subjektu údajů

1.  Členské státy stanoví, že správce podnikne všechny přiměřené kroky k tomu, aby subjektu údajů poskytl stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článku 13 a učinil veškerá sdělení s ohledem na články 11, 14 až 18 a 31 o zpracování. Informace jsou poskytovány jakýmikoliv vhodnými prostředky, a to i v elektronické formě. Obecně platí, že správce poskytne informace ve stejné podobě jako žádost.

2.  Členské státy stanoví, že správce usnadňuje výkon práv subjektu údajů podle článků 11 a 14 až 18.

3.  Členské státy stanoví, že správce písemně bez zbytečného odkladu informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.

4.  Členské státy stanoví, že informace podle článku 13 a veškerá sdělení a veškeré úkony podle článků 11, 14 až 18 a 31 jsou poskytovány a činěny bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

a) uložit přiměřený poplatek zohledňující administrativní nákladů spojené s poskytnutím požadovaných informací nebo sdělení nebo učinění požadovaných úkonů; nebo

b) odmítnout žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti v takových případech dokládá správce.

5.  Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článku 14 nebo 16, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

Článek 13

Informace poskytované subjektu údajů

1.  Členské státy stanoví, že správce poskytuje subjektu údajů alespoň:

a) údaje o totožnosti a kontaktní údaje správce;

b) kontaktní údaje případného pověřence pro ochranu osobních údajů;

c) informace o účelech zpracování, pro které jsou osobní údaje určeny;

d) informace o právu podat stížnost u příslušného dozorovému úřadu a kontaktní údaje tohoto úřadu;

e) informace o existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení jejich zpracování.

2.  Členské státy právním předpisem stanoví, že ve zvláštních případech poskytne správce subjektu údajů vedle informací uvedených v odstavci 1 tyto další informace s cílem umožnit výkon jeho práv:

a) právní základ zpracování;

b) dobu, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

c) případné kategorie příjemců daných osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích;

d) v případě potřeby doplňující informace, zejména jsou-li osobní údaje sebrány bez vědomí subjektu údajů.

3.  Členské státy mohou přijmout legislativní opatření, aby poskytnutí informací subjektu údajů podle odstavce 2 odložily, omezily či od něho upustily, v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a) zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b) zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c) chránit veřejnou bezpečnost;

d) chránit národní bezpečnost;

e) chránit práva a svobody druhých.

4.  Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se může plně nebo částečně vztahovat některé z písmen uvedených v odstavci 3.

Článek 14

Právo subjektu údajů na přístup k osobním údajům

S výhradou článku 15 členské státy stanoví, že subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a) účely a právní základ zpracování;

b) kategorie dotčených osobních údajů;

c) příjemci nebo kategorie příjemců, kterým byly osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d) pokud možno předpokládaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování;

f) právo podat stížnost u dozorového úřadu a kontaktní údaje tohoto úřadu;

g) sdělení osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informací o jejich původu.

Článek 15

Omezení práva na přístup

1.  Členské státy mohou přijmout legislativní opatření, která přístup subjektů údajů k informacím úplně nebo částečně omezují v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a) zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b) zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c) chránit veřejnou bezpečnost;

d) chránit národní bezpečnost;

e) chránit práva a svobody druhých.

2.  Členské státy mohou přijmout legislativní opatření s cílem určit kategorie zpracování, na něž se mohou plně nebo částečně vztahovat výjimky podle odstavce 1.

3.  V případech uvedených v odstavcích 1 a 2 členské státy zajistí, aby správce bez zbytečného odkladu písemně informoval subjekt údajů o jakémkoli odmítnutí nebo omezení přístupu a o důvodech tohoto odmítnutí nebo omezení. Tyto informace není třeba uvádět, pokud by jejich poskytnutí ohrožovalo některý z účelů podle odstavce 1. Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.

4.  Členské státy stanoví, že správce zdokumentuje věcné či právní důvody, na nichž se rozhodnutí zakládá. Tyto informace se zpřístupní dozorovým úřadům.

Článek 16

Právo na opravu nebo výmaz osobních údajů a omezení zpracování

1.  Členské státy stanoví, že subjekt údajů má právo požadovat na správci opravu nepřesných osobních údajů, které se ho týkají, a to bez zbytečného odkladu. S přihlédnutím k účelům zpracování členské státy stanoví, že subjekt údajů má právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

2.  Členské státy vyžadují po správci, aby vymazal osobní údaje bez zbytečného odkladu, a stanoví právo subjektu údajů požadovat po správci, aby bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, jestliže zpracování porušuje předpisy přijaté na základě článku 4, 8 nebo 10 nebo jestliže osobní údaje musí být vymazány ke splnění právní povinnosti správce.

3.  Namísto výmazu osobních údajů správce omezí zpracování:

a) zpochybňuje-li subjekt údajů přesnost osobního údaje a nelze-li ji ověřit; nebo

b) musí-li být dané osobní údaje uchovány pro účely dokazování.

Pokud je zpracování omezeno ve smyslu prvního pododstavce písm. a), informuje správce subjekt údajů před zrušením omezení zpracování.

4.  Členské státy stanoví, že správce informuje subjekt údajů písemně o jakémkoli odmítnutí opravy či výmazu osobních údajů nebo omezení zpracování a o důvodech tohoto odmítnutí. Členské státy mohou přijmout legislativní opatření, která povinnost poskytnout tyto informace úplně nebo částečně omezují v takovém rozsahu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a) zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b) zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c) chránit veřejnou bezpečnost;

d) chránit národní bezpečnost;

e) chránit práva a svobody druhých.

Členské státy stanoví, že správce informuje subjekty údajů o možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu.

5.  Členské státy stanoví, že správce uvědomí o opravě nepřesných osobních údajů příslušný orgán, od nějž tyto nepřesné osobní údaje pocházejí.

6.  Členské státy stanoví, že v případech, kdy byly osobní údaje opraveny nebo vymazány nebo zpracování bylo omezeno podle odstavců 1, 2 a 3, správce vyrozumí příjemce a příjemci tyto osobní údaje opraví či vymaží nebo omezí zpracování osobních údajů, za které odpovídají.

Článek 17

Výkon práv subjektem údajů a ověřování prováděná dozorovým úřadem

1.  V případech uvedených v čl. 13 odst. 3, čl. 15 odst. 3 a čl. 16 odst. 4 členské státy přijmou opatření, která zajistí, aby práva subjektu údajů bylo možné vykonávat rovněž prostřednictvím příslušného dozorového úřadu.

2.  Členské státy stanoví, že správce informuje subjekt údajů o možnosti vykonávat svá práva prostřednictvím dozorového úřadu podle odstavce 1.

3.  V případě výkonu práva podle odstavce 1 informuje dozorový úřad subjekt údajů přinejmenším o tom, že provedl veškerá nezbytná ověření nebo přezkum. Dozorový úřad rovněž subjekt údajů informuje o jeho právu žádat soudní ochranu.

Článek 18

Práva subjektu údajů při trestním vyšetřování a řízení

Členské státy mohou stanovit, že se výkon práv uvedených v článcích 13, 14 a 16 provádí v souladu s právem členského státu, pokud jsou osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu nebo ve spisu zpracovávaném v průběhu trestního vyšetřování a řízení.



KAPITOLA IV

Správce a zpracovatel



Oddíl 1

Obecné povinnosti

Článek 19

Povinnosti správce

1.  Členské státy stanoví, že správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s touto směrnicí. Tato opatření musí být podle potřeby revidována a aktualizována.

2.  Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

Článek 20

Záměrná a standardní ochrana osobních údajů

1.  Členské státy stanoví, že správce s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky této směrnice a ochránil práva subjektů údajů.

2.  Členské státy stanoví, že správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Článek 21

Společní správci

1.  Členské státy stanoví, že dva nebo více správců, kteří společně stanoví účely a prostředky zpracování, jsou společnými správci. Ti mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za dodržování této směrnice, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článku 13, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, jemuž správci podléhají. V ujednání se určí kontaktní místo pro subjekty údajů. Členské státy mohou určit, který ze společných správců může působit jako jediné kontaktní místo, u kterého mohou subjekty údajů vykonávat svá práva.

2.  Bez ohledu na podmínky ujednání uvedeného v odstavci 1 mohou členské státy stanovit, že subjekt údajů může vykonávat svá práva podle předpisů přijatých na základě této směrnice u každého ze správců i vůči každému z nich.

Článek 22

Zpracovatel

1.  Členské státy stanoví, že v případě, že má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky této směrnice a aby byla zajištěna ochrana práv subjektu údajů.

2.  Členské státy stanoví, že zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.  Členské státy stanoví, že se zpracování zpracovatelem řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu zavazujícím zpracovatele vůči správci, v němž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a) jedná pouze podle pokynů správce;

b) zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c) pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů;

d) podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo členského státu nevyžadují uložení osobních údajů;

e) poskytne správci veškeré informace potřebné k doložení souladu s tímto článkem;

f) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 3.

4.  Smlouva nebo jiný právní akt uvedené v odstavci 3 musí být vyhotoveny písemně, a to i v elektronické formě.

5.  Pokud zpracovatel poruší tuto směrnicí tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 23

Zpracování z pověření správce nebo zpracovatele

Členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovat pouze podle pokynů správce, ledaže mu jejich zpracování ukládá právo Unie nebo členského státu.

Článek 24

Záznamy o činnostech zpracování

1.  Členské státy stanoví, že správci vedou záznamy o všech kategoriích činností zpracování, za něž odpovídají. Tyto záznamy obsahují všechny tyto informace:

a) jméno a kontaktní údaje správce a případného společného správce a pověřence pro ochranu osobních údajů;

b) účely zpracování;

c) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

d) popis kategorií subjektů údajů a kategorií osobních údajů;

e) případné použití profilování;

f) případné kategorie předávání osobních údajů do třetí země nebo mezinárodní organizaci;

g) uvedení právního základu operace zpracování, včetně předání, pro něž jsou osobní údaje určeny;

h) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií osobních údajů;

i) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

2.  Členské státy stanoví, že každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:

a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného pověřence pro ochranu osobních údajů;

b) kategorie zpracování prováděného pro každého ze správců;

c) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, na výslovný pokyn správce, včetně identifikace této třetí země či mezinárodní organizace;

d) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 29 odst. 1.

3.  Záznamy uvedené v odstavcích 1 a 2 se vyhotovují písemně, a to i v elektronické formě.

Správce a zpracovatel je na požádání poskytnou dozorovému úřadu.

Článek 25

Vedení logů

1.  Členské státy stanoví, že se v automatizovaných systémech zpracování vedou logy alespoň o těchto operacích zpracování: shromáždění, pozměnění, nahlédnutí a sdělení, včetně předání, zkombinování a výmazu. Logy o nahlédnutí a sdělení musí umožňovat zjištění důvodů těchto operací, datum a čas, kdy byly učiněny, a je-li to možné, totožnosti osoby, která do osobních údajů nahlédla nebo která je zpřístupnila, a totožnosti příjemců těchto osobních údajů.

2.  Logy se používají pouze pro ověření zákonnosti zpracování, vlastní kontrolu, pro zajištění neporušenosti a zabezpečení osobních údajů a pro trestní řízení.

3.  Správce a zpracovatel poskytnou tyto logy na požádání dozorovému úřadu.

Článek 26

Spolupráce s dozorovým úřadem

Členské státy stanoví, že správce a zpracovatel s dozorovým úřadem na požádání spolupracují při plnění jeho úkolů.

Článek 27

Posouzení vlivu na ochranu osobních údajů

1.  Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, členské státy stanoví, že správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.

2.  Posouzení uvedené v odstavci 1 obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k doložení souladu s touto směrnicí, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Článek 28

Předchozí konzultace dozorového úřadu

1.  Členské státy stanoví, že správce nebo zpracovatel konzultuje s dozorovým úřadem před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a) z posouzení vlivu na ochranu osobních údajů podle článku 27 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika; nebo

b) druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

2.  Členské státy stanoví, že dozorový úřad je konzultován během přípravy návrhu legislativního opatření, který má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.

3.  Členské státy stanoví, že dozorový úřad může sestavit seznam operací zpracování, které podléhají předchozí konzultaci podle odstavce 1.

4.  Členské státy stanoví, že správce poskytne dozorovému úřadu posouzení vlivu na ochranu osobních údajů podle článku 27 a na požádání mu poskytne jakékoli další informace, jež dozorovému úřadu umožní posoudit soulad zpracování s touto směrnicí, a zejména posoudit rizika z hlediska ochrany osobních údajů subjektu údajů a související záruky.

5.  Členské státy stanoví, že dozorový úřad v případě, že se domnívá, že by zamýšlené zpracování uvedené v odstavci 1 tohoto článku porušilo předpisy přijaté na základě této směrnice, zejména pokud správce nedostatečně určil či zmírnil riziko, na to upozorní správce a případně zpracovatele písemně ve lhůtě nejvýše šesti týdnů od obdržení žádosti o konzultaci a že může uplatnit kteroukoli ze svých pravomocí uvedených v článku 47. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o jeden měsíc. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci.



Oddíl 2

Zabezpečení osobních údajů

Článek 29

Zabezpečení zpracování

1.  Členské státy stanoví, že správce a zpracovatel, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií osobních údajů uvedených v článku 10.

2.  Pokud jde o automatizované zpracování, každý členský stát stanoví, že správce nebo zpracovatel provede po zhodnocení rizik opatření s cílem:

a) zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“);

b) zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“);

c) zabránit neoprávněnému vkládání osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených osobních údajů („kontrola uložení“);

d) zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“);

e) zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému pro zpracování měly přístup pouze k osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“);

f) zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být osobní údaje předány nebo zpřístupněny za použití zařízení pro přenos údajů („kontrola přenosu“);

g) zajistit, aby bylo možné zpětně ověřit a zjistit, které osobní údaje byly vloženy do automatizovaných systémů pro zpracování a kdo a kdy je do těchto systémů vložil („kontrola vkládání“);

h) zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání osobních údajů při předávání osobních údajů nebo při přepravě nosičů údajů („kontrola přepravy“);

i) zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“);

j) zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“).

Článek 30

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

1.  Členské státy stanoví, že správce jakékoli porušení zabezpečení osobních údajů ohlásí dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.  Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3.  Ohlášení podle odstavce 1 musí přinejmenším obsahovat:

a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.  Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5.  Členské státy stanoví, že správce dokumentuje veškeré případy porušení zabezpečení osobních údajů uvedené v odstavci 1, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

6.  Členské státy stanoví, že v případě, že se porušení zabezpečení údajů týká osobních údajů, které předal správce jiného členského státu nebo které byly takovému správci předány, musí být informace uvedené v odstavci 3 sděleny bez zbytečného odkladu správci tohoto členského státu.

Článek 31

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.  Členské státy stanoví, že správce oznámí případy porušení zabezpečení osobních údajů bez zbytečného odkladu subjektu údajů, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

2.  V oznámení subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 30 odst. 3 písm. b), c) a d).

3.  Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování;

b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví;

c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.  Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušením bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

5.  Oznámení subjektu údajů podle odstavce 1 tohoto článku lze odložit, omezit či lze od něj upustit za podmínek uvedených v čl. 13 odst. 3 a z důvodů v něm stanovených.



Oddíl 3

Pověřenec pro ochranu osobních údajů

Článek 32

Určení pověřence pro ochranu osobních údajů

1.  Členské státy stanoví, že správce určí pověřence pro ochranu osobních údajů. Členské státy mohou této povinnosti zprostit soudy a jiné nezávislé justiční orgány, pokud jednají v rámci svých justičních pravomocí.

2.  Pověřenec pro ochranu osobních údajů musí být určen na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 34.

3.  Pro několik příslušných orgánů může být, s ohledem na jejich organizační strukturu a velikost, určen jediný pověřenec pro ochranu osobních údajů.

4.  Členské státy stanoví, že správce zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Článek 33

Postavení pověřence pro ochranu osobních údajů

1.  Členské státy stanoví, že správce zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.  Správce podporuje pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 34 tím, že mu poskytuje zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Článek 34

Úkoly pověřence pro ochranu osobních údajů

Členské státy stanoví, že správce pověří pověřence pro ochranu osobních údajů alespoň těmito úkoly:

a) poskytovat informace a poradenství správci a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle této směrnice a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

b) monitorovat soulad s touto směrnicí, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů;

c) na požádání poskytovat poradenství, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorovat jeho uplatňování podle článku 27;

d) spolupracovat s dozorovým úřadem;

e) působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 28, a případně vést konzultace v jakékoli jiné věci.



KAPITOLA V

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

Článek 35

Obecné zásady pro předávání osobních údajů

1.  Členské státy stanoví, že osobní údaje, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, včetně dalšího předávání do další třetí země nebo mezinárodní organizaci, předají příslušné orgány s výhradou dodržení předpisů přijatých na základě jiných ustanovení této směrnice a pouze tehdy, jsou-li splněny podmínky stanovené v této kapitole, totiž:

a) dané předání je nutné pro účely uvedené v čl. 1 odst. 1;

b) osobní údaje jsou předány správci ve třetí zemi nebo v mezinárodní organizaci, který je orgánem příslušným pro účely stanovené v čl. 1 odst. 1;

c) v případě, že jsou předávány nebo zpřístupňovány osobní údaje z jiného členského státu, tento členský stát udělil předchozí povolení k předání v souladu se svým vnitrostátním právem;

d) Komise přijala rozhodnutí o odpovídající ochraně podle článku 36 nebo v případě, že takové rozhodnutí neexistuje, byly poskytnuty nebo existují vhodné záruky podle článku 37, nebo v případě, že neexistuje rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, uplatní se výjimky pro specifické situace podle článku 38; a

e) v případě dalšího předání do jiné třetí země nebo mezinárodní organizace příslušný orgán, který provedl původní předání, nebo jiný příslušný orgán téhož členského státu povolí takové další předání po zohlednění všech relevantních faktorů, včetně závažnosti trestného činu, účelu, pro který byly osobní údaje původně předány, a úrovně ochrany osobních údajů ve třetí zemi nebo mezinárodní organizaci, které jsou osobní údaje dále předávány.

2.  Členské státy stanoví, že předání osobních údajů bez předchozího povolení jiného členského státu podle odst. 1 písm. c) je přípustné pouze tehdy, pokud je nezbytné, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi nebo podstatných zájmů členského státu, a předchozí povolení nelze včas získat. Orgán příslušný pro vydání předchozího povolení musí být neprodleně informován.

3.  Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zajištěná touto směrnicí nebyla znehodnocena.

Článek 36

Předání založené na rozhodnutí o odpovídající ochraně

1.  Členské státy stanoví, že se předání osobních údajů do určité třetí země nebo určité mezinárodní organizaci může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.

2.  Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména:

a) právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně pravidel týkajících se veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla pro ochranu údajů, profesní pravidla a bezpečnostní opatření, včetně pravidel pro další předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní či soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

b) existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

c) mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

3.  Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný alespoň každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 58 odst. 2.

4.  Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3.

5.  Komise v případě, že z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, vyplyne, že určitá třetí země, určité území nebo jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.

V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 58 odst. 3 okamžitě použitelné prováděcí akty.

6.  Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.

7.  Členské státy stanoví, že rozhodnutím podle odstavce 5 není dotčeno předávání osobních údajů do dané třetí země, na dané území či jednomu nebo více konkrétním odvětvím v této třetí zemi nebo dané mezinárodní organizaci podle článků 37 a 38.

8.  Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam těch třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.

Článek 37

Předání založené na vhodných zárukách

1.  Jestliže neexistuje rozhodnutí podle čl. 36 odst. 3, stanoví členské státy, že se předání osobních údajů do třetí země nebo mezinárodní organizaci může uskutečnit:

a) pokud byly právně závazným nástrojem poskytnuty vhodné záruky ve vztahu k ochraně osobních údajů; nebo

b) pokud správce posoudil všechny okolnosti daného předání osobních údajů a dospěl k závěru, že ve vztahu k ochraně osobních údajů existují vhodné záruky.

2.  Správce informuje dozorový úřad o kategoriích předání podle odst. 1 písm. b).

3.  Je-li předání osobních údajů založeno na odst. 1 písm. b), musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.

Článek 38

Výjimky pro specifické situace

1.  Členské státy stanoví, že neexistuje-li rozhodnutí o odpovídající ochraně podle článku 36 ani vhodné záruky podle článku 37, může se předání nebo kategorie předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze za podmínky, že jsou nezbytné:

a) k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby;

b) k ochraně oprávněných zájmů subjektu údajů, jestliže tak stanoví právo členského státu, který osobní údaje předává;

c) k tomu, aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v určitém členském státě nebo třetí zemi;

d) v individuálních případech pro účely uvedené v čl. 1 odst. 1; nebo

e) v individuálním případě pro určení, výkon nebo obhajobu právních nároků v souvislosti s účely uvedenými v čl. 1 odst. 1.

2.  Osobní údaje se nepředají, pokud předávající příslušný orgán rozhodne, že základní práva a svobody dotčeného subjektu údajů převažují nad veřejným zájmem na předání uvedeným v odst. 1 písm. d) a e).

3.  Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno a příslušná dokumentace na požádání zpřístupněna dozorovému úřadu, přičemž musí obsahovat mimo jiné den a čas předání, informace o přijímajícím příslušném orgánu, důvody předání a předané osobní údaje.

Článek 39

Předání osobních údajů příjemcům usazeným ve třetích zemích

1.  Odchylně od čl. 35 odst. 1 písm. b) a aniž jsou dotčeny jakékoliv mezinárodní dohody uvedené v odstavci 2 tohoto článku, může právo Unie nebo členského státu stanovit, že příslušné orgány uvedené v čl. 3 bodě 7 písm. a) mohou v individuálních a zvláštních případech předat osobní údaje přímo příjemcům usazeným ve třetích zemích pouze tehdy, pokud je to v souladu s ostatními ustanoveními této směrnice a jsou splněny všechny tyto podmínky:

a) předání je nezbytně nutné ke splnění úkolu příslušného předávajícího orgánu podle práva Unie nebo členského státu pro účely stanovené v čl. 1 odst. 1;

b) předávající příslušný orgán rozhodne, že nad veřejným zájmem vyžadujícím předání v daném případě nepřevažují žádná základní práva a svobody dotčeného subjektu údajů;

c) předávající příslušný orgán se domnívá, že předání orgánu příslušnému pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je neefektivní nebo nevhodné, zejména proto, že je nelze učinit včas;

d) orgán příslušný pro účely uvedené v čl. 1 odst. 1 ve třetí zemi je bez zbytečného odkladu informován, ledaže to je neefektivní nebo nevhodné;

e) předávající příslušný orgán informuje příjemce o konkrétním účelu nebo účelech, pro něž může osobní údaje zpracovat, pokud je takové zpracování nutné.

2.  Mezinárodními dohodami uvedenými v odstavci 1 se rozumí jakékoliv platné dvoustranné nebo mnohostranné mezinárodní dohody mezi členskými státy a třetími zeměmi v oblasti justiční spolupráce v trestních věcech a policejní spolupráce.

3.  Předávající příslušný orgán informuje dozorový úřad o každém předání osobních údajů podle tohoto článku.

4.  Je-li předání osobních údajů založeno na odstavci 1, musí být zdokumentováno.

Článek 40

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu ke třetím zemím a mezinárodním organizacím podniknou Komise a členské státy vhodné kroky za účelem:

a) rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné vymáhání právních předpisů na ochranu osobních údajů;

b) poskytování vzájemné pomoci na mezinárodní úrovni při vymáhání právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c) zapojení příslušných zúčastněných stran do diskuse a činností zaměřených na prohlubování mezinárodní spolupráce při vymáhání právních předpisů na ochranu osobních údajů;

d) podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.



KAPITOLA VI

Nezávislé dozorové úřady



Oddíl 1

Nezávislost postavení

Článek 41

Dozorový úřad

1.  Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování této směrnice s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen „dozorový úřad“).

2.  Každý dozorový úřad přispívá k soudržnému uplatňování této směrnice v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.

3.  Členské státy mohou stanovit, že dozorový úřad zřízený podle nařízení (EU) 2016/679 je dozorovým úřadem uvedeným v této směrnici a že plní úkoly dozorového úřadu, který má být zřízen podle odstavce 1 tohoto článku.

4.  Pokud je v některém členském státě zřízen více než jeden dozorový úřad, určí tento členský stát dozorový úřad, jenž má tyto úřady zastupovat ve sboru.

Článek 42

Nezávislost

1.  Každý členský stát stanoví, že každý dozorový úřad jedná při plnění svých úkolů a při výkonu svých pravomocí podle této směrnice zcela nezávisle.

2.  Členské státy stanoví, že člen či členové jejich dozorového úřadu při plnění svých úkolů a výkonu svých pravomocí podle této směrnice musí být i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.

3.  Členové dozorových úřadů členských států se zdrží jakéhokoliv jednání neslučitelného s jejich funkcí a během svého funkčního období nesmějí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

4.  Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit a vykonávat v rámci vzájemné pomoci, spolupráce a účasti ve sboru.

5.  Každý členský stát zajistí, aby si každý dozorový úřad vybíral a měl své vlastní zaměstnance, kteří podléhají výlučně řízení členem či členy tohoto dozorového úřadu.

6.  Každý členský stát zajistí, aby každý dozorový úřad podléhal finanční kontrole, která nijak neovlivní jeho nezávislost, a aby měl samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.

Článek 43

Obecné podmínky pro členy dozorového úřadu

1.  Členské státy stanoví, že každý člen jejich dozorových úřadů je jmenován transparentním postupem:

 parlamentem,

 vládou,

 hlavou státu nebo

 nezávislým subjektem, kterému toto jmenování svěří právo členského státu.

2.  Každý člen musí mít kvalifikaci, zkušenosti a dovednosti, zejména v oblasti ochrany osobních údajů, potřebné k plnění svých povinností a výkonu svých pravomocí.

3.  Povinnosti člena končí uplynutím jeho funkčního období, odstoupením nebo povinným odchodem do důchodu v souladu s právem daného členského státu.

4.  Člen může být odvolán pouze v případě závažného pochybení nebo pokud přestane splňovat podmínky pro plnění svých povinností.

Článek 44

Pravidla pro zřízení dozorového úřadu

1.  Každý členský stát upraví právním předpisem všechny tyto záležitosti:

a) zřízení každého dozorového úřadu;

b) kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu;

c) pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu;

d) délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 6. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování;

e) zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně;

f) podmínky, jimiž se řídí povinnosti člena nebo členů a zaměstnanců každého dozorového úřadu, zákaz jednání a pracovní činnosti a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání.

2.  Člen či členové a zaměstnanci každého dozorového úřadu jsou, v souladu s právem Unie nebo členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozvědí během plnění svých úkolů či výkonu svých pravomocí. Během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na ohlášení porušení této směrnice učiněná fyzickými osobami.



Oddíl 2

Příslušnost, úkoly a pravomoci

Článek 45

Příslušnost

1.  Každý členský stát stanoví, že každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s touto směrnicí.

2.  Každý členský stát stanoví, že žádný dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy v rámci svých soudních pravomocí. Členské státy mohou stanovit, že jejich dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí.

Článek 46

Úkoly

1.  Každý členský stát stanoví, že každý dozorový úřad na jeho území:

a) monitoruje a vymáhá uplatňování této směrnice a prováděcích opatření k ní;

b) zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám;

c) v souladu s právem členského státu poskytuje poradenství parlamentu, vládě a dalším orgánům a institucím svého členského státu ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d) podporuje povědomí správců a zpracovatelů o jejich povinnostech podle této směrnice;

e) na požádání poskytuje všem subjektům údajů informace o výkonu jejich práv podle této směrnice a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

f) vyřizuje stížnosti, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 55, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o pokroku a o výsledku šetření, zejména v případech, kdy je zapotřebí dalšího šetření nebo koordinace s jiným dozorovým úřadem;

g) ověřuje zákonnost zpracování podle článku 17 a v přiměřené lhůtě informuje subjekt údajů o výsledku daného ověření podle odstavce 3 uvedeného článku nebo o důvodech, proč ověření nebylo provedeno;

h) s cílem zajistit soudržné uplatňování a vymáhání této směrnice spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

i) provádí šetření o uplatňování této směrnice, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

j) monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

k) poskytuje poradenství o operacích zpracování uvedených v článku 28 a

l) přispívá k činnostem sboru.

2.  Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3.  Plnění úkolů každého dozorového úřadu je pro subjekty údajů a pro pověřence pro ochranu osobních údajů bezplatné.

4.  Pokud je žádost zjevně nedůvodná nebo nepřiměřená, zejména proto, že je opakovaná, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.

Článek 47

Pravomoci

1.  Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné vyšetřovací pravomoci. Tyto pravomoci zahrnují přinejmenším pravomoc získat od správce a zpracovatele přístup ke všem zpracovávaným osobním údajům a k veškerým informacím, které potřebuje k plnění svých úkolů.

2.  Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné nápravné pravomoci, jako je například pravomoc:

a) upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují předpisy přijaté na základě této směrnice;

b) nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s předpisy přijatými na základě této směrnice, a to případně předepsaným způsobem a ve stanovené lhůtě, zejména tím, že nařídí opravu nebo výmaz osobních údajů či omezení zpracování podle článku 16;

c) uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu.

3.  Každý členský stát právním předpisem stanoví, že každý dozorový úřad má účinné poradní pravomoci poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 28 a z vlastního podnětu nebo na požádání vydávat stanoviska určená svému parlamentu a své vládě nebo, v souladu se svým vnitrostátním právem, dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů.

4.  Výkon pravomocí svěřených podle tohoto článku dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.

5.  Každý členský stát právním předpisem stanoví, že každý dozorový úřad má pravomoc upozornit na porušení předpisů přijatých na základě této směrnice justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení předpisů přijatých na základě této směrnice.

Článek 48

Ohlašování porušení

Členské státy stanoví, že příslušné orgány zavedou účinné mechanismy s cílem podpořit důvěrné ohlašování porušení této směrnice.

Článek 49

Zprávy o činnosti

Každý dozorový úřad vypracovává výroční zprávy o své činnosti, které mohou obsahovat seznam druhů ohlášených porušení a druhů uložených sankcí. Tyto zprávy předkládá parlamentu a vládě svého členského státu a dalším orgánům určeným právem členského státu. Dále je zpřístupní veřejnosti, Komisi a sboru.



KAPITOLA VII

Spolupráce

Článek 50

Vzájemná pomoc

1.  Každý členský stát stanoví, že si jeho dozorové úřady vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování této směrnice, a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná pomoc zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o provedení konzultací, inspekcí a šetření.

2.  Každý členský stát stanoví, že každý dozorový úřad přijme veškerá vhodná opatření nutná k vyřízení žádosti jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději za jeden měsíc od obdržení žádosti. K těmto opatřením může patřit zejména předávání relevantních informací o průběhu šetření.

3.  Žádosti o pomoc musí obsahovat všechny potřebné informace včetně svého účelu a důvodů. Vyměňované informace se použijí pouze pro účely, pro které byly vyžádány.

4.  Dožádaný dozorový úřad nesmí odmítnout žádosti vyhovět, ledaže:

a) není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo

b) vyhověním žádosti by došlo k porušení této směrnice nebo práva Unie či členského státu, kterému tento úřad podléhá.

5.  Dožádaný dozorový úřad informuje žádající dozorový úřad o výsledcích nebo případně o pokroku či opatřeních, jež byla přijata k vyřízení žádosti. Jestliže dožádaný dozorový úřad žádosti nevyhoví na základě odstavce 4, uvede důvody svého rozhodnutí.

6.  Dožádané dozorové úřady poskytují informace, které po nich žádají jiné dozorové úřady, zpravidla v elektronické formě za použití standardizovaného formátu.

7.  Dožádané dozorové úřady za žádné úkony, které provedou na základě žádosti o vzájemnou pomoc, neúčtují poplatky. Dozorové úřady se mohou dohodnout na pravidlech pro vzájemné odškodnění za zvláštní výdaje vyplývající z poskytnutí vzájemné pomoci ve výjimečných případech.

8.  Komise může prostřednictvím prováděcích aktů určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak má probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 58 odst. 2.

Článek 51

Úkoly sboru

1.  Sbor, zřízený nařízením (EU) 2016/679, plní v souvislosti se zpracováním v oblasti působnosti této směrnice všechny tyto úkoly:

a) poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn této směrnice;

b) prošetřuje z vlastního podnětu nebo na žádost některého ze svých členů nebo Komise veškeré otázky týkající se uplatňování této směrnice a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování této směrnice;

c) vypracovává pokyny pro dozorové úřady ohledně uplatňování opatření uvedených v čl. 47 odst. 1 a 3;

d) vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce k tomu, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 30 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce nebo zpracovatel povinni porušení ohlásit;

e) vydává pokyny, doporučení a osvědčené postupy podle písmene b) tohoto pododstavce, pokud jde o okolnosti, za nichž je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 31 odst. 1;

▼C1

f) přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů;

▼B

g) poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo mezinárodní organizaci a pro posouzení, zda určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany;

h) podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady;

i) podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady, kterých se ve vhodných případech účastní i dozorové úřady třetích zemí nebo mezinárodních organizací;

j) podporuje výměnu znalostí a dokumentů o právu a praxi v oblasti ochrany údajů s dozorovými úřady pro ochranu údajů po celém světě.

Pokud jde o první pododstavec písm. g), poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země, daným územím či konkrétním odvětvím v této třetí zemi nebo s danou mezinárodní organizací.

2.  Jestliže Komise žádá sbor o poradenství, může uvést určitou lhůtu s přihlédnutím k naléhavosti dané záležitosti.

3.  Sbor zasílá svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v čl. 58 odst. 1 a zveřejňuje je.

4.  Komise informuje sbor o krocích, jež podnikla v návaznosti na stanoviska, pokyny, doporučení a osvědčené postupy jím vydané.



KAPITOLA VIII

Právní ochrana, odpovědnost a sankce

Článek 52

Právo podat stížnost u dozorových úřadů

1.  Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, stanoví členské státy, že každý subjekt údajů má právo podat stížnost u jediného dozorového úřadu, pokud se domnívá, že zpracováním jeho osobních údajů jsou porušeny předpisy přijaté na základě této směrnice.

2.  Členské státy stanoví, že dozorový úřad, kterému byla podána stížnost, pro kterou není příslušný podle čl. 45 odst. 1, tuto stížnost postoupí bez zbytečného odkladu příslušnému dozorovému úřadu. Subjekt údajů je o postoupení informován.

3.  Členské státy stanoví, že dozorový úřad, kterému byla stížnost podána, poskytne subjektu údajů na jeho žádost další pomoc.

4.  Příslušný dozorový úřad informuje subjekt údajů o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti využít soudní ochranu podle článku 53.

Článek 53

Právo na účinnou soudní ochranu vůči dozorovému úřadu

1.  Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, stanoví členské státy právo fyzické nebo právnické osoby na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2.  Aniž je dotčena jakákoliv jiná správní nebo mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle čl. 45 odst. 1, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 52 či o jeho výsledku.

3.  Členské státy stanoví, že se řízení proti dozorovému úřadu zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

Článek 54

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

Aniž je dotčena jakákoli dostupná správní nebo mimosoudní ochrana, včetně práva podat stížnost u dozorového úřadu podle článku 52, stanoví členské státy právo subjektu údajů na účinnou soudní ochranu, pokud má za to, že práva mu přiznaná předpisy přijatými na základě této směrnice byla porušena v důsledku zpracování jeho osobních údajů v rozporu s uvedenými předpisy.

Článek 55

Zastupování subjektů údajů

Členské státy v souladu s procesním právem členského státu stanoví, že subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež jsou činné v oblasti práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost a uplatnil práva uvedená v článcích 52, 53 a 54.

Článek 56

Právo na náhradu újmy

Členské státy stanoví, že kdokoli, kdo v důsledku protiprávní operace zpracování nebo jiného úkonu porušujícího předpisy přijaté na základě této směrnice utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo jiného orgánu příslušného podle práva členského státu náhradu utrpěné újmy.

Článek 57

Sankce

Členské státy stanoví pravidla pro sankce za porušení předpisů přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.



KAPITOLA IX

Prováděcí akty

Článek 58

Postup projednávání ve výboru

1.  Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.  Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

3.  Odkazuje-li se na tento odstavec, použije se článek 8 nařízení (EU) č. 182/2011 ve spojení s článkem 5 uvedeného nařízení.



KAPITOLA X

Závěrečná ustanovení

Článek 59

Zrušení rámcového rozhodnutí 2008/977/SVV

1.  Rámcové rozhodnutí 2008/977/SVV se zrušuje s účinkem ode dne 6. května 2018.

2.  Odkazy na zrušené rámcové rozhodnutí uvedené v odstavci 1 se považují za odkazy na tuto směrnici.

Článek 60

Již platné právní akty Unie

Konkrétní ustanovení o ochraně osobních údajů obsažená v právních aktech Unie vstoupivších v platnost nejpozději 6. května 2016 v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, jež upravují zpracování mezi členskými státy a přístup určených orgánů členských států do informačních systémů zřízených podle Smluv v mezích působnosti této směrnice, zůstávají nedotčena.

Článek 61

Vztah k dříve uzavřeným mezinárodním dohodám v oblasti justiční spolupráce v trestních věcech a policejní spolupráce

Mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, které byly uzavřeny členskými státy před 6. květnem 2016 a jsou v souladu s právem Unie použitelným před uvedeným dnem, zůstávají v platnosti, dokud nebudou změněny, nahrazeny či zrušeny.

Článek 62

Zprávy Komise

1.  Do 6. května 2022 a poté každé čtyři roky předloží Komise Evropskému parlamentu a Radě zprávu o hodnocení a přezkumu této směrnice. Tyto zprávy se zveřejní.

2.  V souvislosti s hodnoceními a přezkumy uvedenými v odstavci 1 Komise přezkoumá zejména uplatňování a fungování kapitoly V o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, se zvláštním zřetelem na rozhodnutí přijatá podle čl. 36 odst. 3 a článku 39.

3.  Pro účely odstavců 1 a 2 může Komise požádat členské státy a dozorové úřady o informace.

4.  Při provádění hodnocení a přezkumů uvedených v odstavcích 1 a 2 Komise zohlední stanoviska a zjištění Evropského parlamentu, Rady a dalších příslušných subjektů nebo zdrojů.

5.  Komise v případě potřeby předloží vhodné návrhy na změnu této směrnice, zejména s přihlédnutím k vývoji informačních technologií a k pokroku v oblasti informační společnosti.

6.  Komise do 6. května 2019 přezkoumá jiné právní akty přijaté Unií, které upravují zpracování příslušnými orgány pro účely stanovené v čl. 1 odst. 1, včetně aktů uvedených v článku 60, s cílem posoudit, zda je třeba je uvést do souladu s touto směrnicí, a pokud ano, předloží nezbytné návrhy na změnu těchto aktů tak, aby byl zaručen soudržný přístup k ochraně osobních údajů v oblasti působnosti této směrnice.

Článek 63

Provedení ve vnitrostátním právu

1.  Členské státy do 6. května 2018 přijmou a zveřejní právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Znění těchto předpisů neprodleně sdělí Komisi. Použijí tyto předpisy ode dne 6. května 2018.

Tyto předpisy přijaté členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním vyhlášení. Způsob odkazu si stanoví členské státy.

2.  Odchylně od odstavce 1 může členský stát stanovit, že automatizované systémy zpracování zavedené přede dnem 6. května 2016 se ve výjimečných případech, kdy to vyžaduje nepřiměřené úsilí, uvedou do souladu s čl. 25 odst. 1 do 6. května 2023.

3.  Odchylně od odstavců 1 a 2 tohoto článku může členský stát ve výjimečných případech uvést konkrétní automatizovaný systém zpracování uvedený v odstavci 2 tohoto článku do souladu s čl. 25 odst. 1 ve stanovené lhůtě po uplynutí lhůty uvedené v odstavci 2 tohoto článku, pokud by to jinak způsobilo vážné obtíže pro provoz tohoto konkrétního automatizovaného systému zpracování. Dotyčný členský stát oznámí Komisi důvody těchto vážných obtíží i důvody pro stanovenou lhůtu, během níž uvede konkrétní automatizovaný systém zpracování do souladu s čl. 25 odst. 1. Stanovená lhůta v každém případě skončí nejpozději 6. května 2026.

4.  Členské státy sdělí Komisi znění hlavních ustanovení vnitrostátních právních předpisů, které přijmou v oblasti působnosti této směrnice.

Článek 64

Vstup v platnost

Tato směrnice vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 65

Určení

Tato směrnice je určena členským státům.

© Evropská unie, https://eur-lex.europa.eu/ , 1998-2020
Zavřít
MENU