(EU) 2016/679Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)

při výkonu činností, které nespadají do oblasti působnosti práva Unie;

členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

fyzickou osobou v průběhu výlučně osobních či domácích činností;

příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo

s monitorováním jejich chování, pokud k němu dochází v rámci Unie.

ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“);

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);

zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“);

subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy;

zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

právem Unie nebo

právem členského státu, které se na správce vztahuje.

jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se odsouzení v trestních věcech a trestných činů podle článku 10;

možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů;

zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;

zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;

zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí;

zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;

zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 3;

zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství;

zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.

uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s přijetím požadovaných opatření; nebo

odmítnout žádosti vyhovět.

totožnost a kontaktní údaje správce a jeho případného zástupce;

případně kontaktní údaje případného pověřence pro ochranu osobních údajů;

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

případné příjemce nebo kategorie příjemců osobních údajů;

případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním;

existence práva podat stížnost u dozorového úřadu;

skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutný pro uzavření smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

totožnost a kontaktní údaje správce a případně jeho zástupce;

případně kontaktní údaje případného pověřence pro ochranu osobních údajů;

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

kategorie dotčených osobních údajů;

případné příjemce nebo kategorie příjemců osobních údajů;

případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založeného na souhlasu před jeho odvoláním;

existence práva podat stížnost u dozorového úřadu;

zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo

nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

subjekt údajů již uvedené informace má;

se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo vážně ohrozilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;

je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo

osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.

účely zpracování;

kategorie dotčených osobních údajů;

příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;

právo podat stížnost u dozorového úřadu;

veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;

subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;

osobní údaje byly zpracovány protiprávně;

osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;

osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

pro výkon práva na svobodu projevu a informace;

pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;

pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

pro určení, výkon nebo obhajobu právních nároků.

subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a

zpracování se provádí automatizovaně.

nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;

povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

založeno na výslovném souhlasu subjektu údajů.

národní bezpečnost;

obranu;

veřejnou bezpečnost;

prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně měnových, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

ochranu nezávislosti soudnictví a soudních řízení;

prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až e) a g);

ochranu subjektu údajů nebo práv a svobod druhých;

vymáhání občanskoprávních nároků.

účely zpracování nebo kategorie zpracování;

kategorie osobních údajů;

rozsah zavedených omezení;

záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

specifikaci správců nebo kategorie správců;

doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;

rizika z hlediska práv a svobod subjektů údajů; a

právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.

zpracování, které je příležitostné, nezahrnuje, ve velkém měřítku, zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 10, a u něhož je nepravděpodobné, že by s ohledem na svou povahu, kontext, rozsah a účely představovalo riziko pro práva a svobody fyzických osob; nebo

orgán veřejné moci nebo veřejný subjekt.

zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo právo členského státu, které se na zpracovatele vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k důvěrnosti nebo aby se na ně vztahovala zákonná povinnost důvěrnosti;

přijme všechna opatření požadovaná podle článku 32;

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;

zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;

v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;

účely zpracování;

popis kategorií subjektů údajů a kategorií osobních údajů;

kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;

je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;

kategorie zpracování prováděného pro každého ze správců;

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

pseudonymizace a šifrování osobních údajů;

schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;

procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění zabezpečení zpracování.

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 10; nebo

rozsáhlé systematické monitorování veřejně přístupných prostorů.

systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;

posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování, zejména v případě zpracování v rámci skupiny podniků;

účely a způsoby zamýšleného zpracování;

opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

kontaktní údaje případného pověřence pro ochranu osobních údajů;

posouzení vlivu na ochranu osobních údajů podle článku 35 a

veškeré další informace, o které dozorový úřad požádá.

zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 nebo osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 10.

poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;

spolupráce s dozorovým úřadem a

působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

spravedlivé a transparentní zpracování;

oprávněné zájmy, jež správci v konkrétních situacích sledují;

shromažďování osobních údajů;

pseudonymizaci osobních údajů;

informace poskytované veřejnosti a subjektům údajů;

výkon práv subjektů údajů;

informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem;

opatření a postupy uvedené v článcích 24 a 25 a opatření k zajištění zabezpečení zpracování podle článku 32;

ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů;

předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo

mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů podle článků 77 a 79.

prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu kodexu;

stanovil postupy, které mu umožňují posoudit způsobilost dotčených správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování;

stanovil postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

dozorovým úřadem, který je příslušný podle článku 55 nebo 56; nebo

vnitrostátním akreditačním orgánem určeným v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 ( 2 ), v souladu s normou EN-ISO/IEC 17065/2012 a s dodatečnými požadavky stanovenými dozorovým úřadem, který je příslušný podle článku 55 nebo 56.

prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu osvědčení;

se zavázal dodržovat kritéria uvedená v čl. 42 odst. 5 a schválená dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63;

stanovil postupy pro vydávání, pravidelný přezkum a odebírání osvědčení, pečetí a známek dokládajících ochranu údajů;

stanovil postupy a struktury pro řešení stížností týkajících se porušování osvědčení nebo způsobu, jak správce nebo zpracovatel osvědčení uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

ke spokojenosti příslušného dozorového úřadu doložil, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat soulad s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

závazných podnikových pravidel v souladu s článkem 47;

standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2;

standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí přezkumným postupem podle čl. 93 odst. 2;

schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo

schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.

smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo

ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně jejich zaměstnanců;

subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich osobních údajů; a

splňují požadavky stanovené v odstavci 2.

strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a každého z jejích členů;

předání údajů nebo soubor předání, včetně kategorií osobních údajů, typu zpracování a jeho účelů, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

svoji právně závaznou povahu, a to interně i externě;

použití obecných zásad pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezenou dobu uložení, kvalitu údajů, záměrnou a standardní ochranu osobních údajů, právní základ pro zpracování, zpracování zvláštních kategorií osobních údajů; opatření k zajištění zabezpečení údajů a požadavky ohledně dalšího předávání subjektům, které podnikovými pravidly nejsou vázány;

práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů a prostředky jejich výkonu, včetně práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování, včetně profilování v souladu s článkem 22, práva podat stížnost u příslušného dozorového úřadu a příslušných soudů členských států v souladu s článkem 79, právní ochrany a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti zcela nebo zčásti zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

způsob poskytování informací o závazných podnikových pravidlech, zejména o ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací uvedených v článcích 13 a 14;

úkoly všech pověřenců pro ochranu osobních údajů jmenovaných v souladu s článkem 37, nebo jakékoli jiné osoby či subjektu pověřeného monitorováním souladu se závaznými podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a sledování školení a vyřizování stížností;

postupy pro vyřizování stížností;

mechanismy, které mají v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost zajistit ověřování souladu se závaznými podnikovými pravidly. Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění opravných opatření pro ochranu práv subjektu údajů. Výsledky takového ověření by měly být oznámeny osobě nebo subjektu uvedenému v písmenu h) a radě řídícího podniku skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a na požádání by měly být zpřístupněny příslušnému dozorovému úřadu;

mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn dozorovému úřadu;

mechanismus spolupráce s dozorovým úřadem, který zajistí dodržování pravidel každým členem skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu j) dozorovému úřadu;

mechanismy pro podávání zpráv příslušnému dozorovému úřadu o právních požadavcích, kterým je člen skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný negativní účinek na záruky poskytované závaznými podnikovými pravidly; a

vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním údajům trvalý nebo pravidelný přístup.

daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;

předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;

předání je nezbytné z důležitých důvodů veřejného zájmu;

předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;

předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas;

k předání dochází z rejstříku, který je na základě práva Unie nebo členského státu určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie nebo členského státu.

zřízení každého dozorového úřadu;

kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu;

pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu;

délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 24. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování;

zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně;

podmínky, jimiž se řídí povinnosti člena nebo členů a pracovníků každého dozorového úřadu, zákaz jednání a pracovních činností a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání.

monitoruje a vymáhá uplatňování tohoto nařízení;

zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

v souladu s právem členského státu poskytuje poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

přijímá standardní smluvní doložky uvedené v čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

poskytuje poradenství o operacích zpracování uvedených v čl. 36 odst. 2;

podporuje vypracování kodexů chování podle čl. 40 odst. 1, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky podle čl. 40 odst. 5;

vybízí k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů podle čl. 42 odst. 1 a schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

případně provádí pravidelný přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

navrhuje a zveřejňuje požadavky na akreditaci subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

provádí schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

schvaluje smluvní doložky a ustanovení uvedené v čl. 46 odst. 3;

schvaluje závazná podniková pravidla podle článku 47;

přispívá k činnostem sboru;

vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2; a

plní veškeré další úkoly související s ochranou osobních údajů.

nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů;

provádět vyšetřování formou auditů ochrany údajů;

provádět přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých úkolů;

získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s procesním právem Unie nebo členského státu.

upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení;

udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;

odebrat osvědčení nebo nařídit, aby subjekt pro vydávání osvědčení odebral osvědčení vydané podle článků 42 a 43, nebo aby osvědčení nevydal, pokud požadavky na osvědčení plněny nejsou nebo již přestaly být plněny;

uložit správní pokutu podle článku 83 vedle či namísto opatření uvedených v tomto odstavci, podle okolností každého jednotlivého případu;

nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.

poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 36;

z vlastního podnětu nebo na požádání vydávat stanoviska určená vnitrostátnímu parlamentu, vládě členského státu nebo v souladu s právem členského státu dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

povolovat zpracování uvedené v čl. 36 odst. 5, pokud právo členského státu takové předchozí povolení vyžaduje;

vydávat stanoviska a schvalovat návrhy kodexů chování podle čl. 40 odst. 5;

akreditovat subjekty pro vydávání osvědčení podle článku 43;

vydávat osvědčení a schvalovat kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

přijímat standardní doložky o ochraně údajů podle čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

povolovat smluvní doložky podle čl. 46 odst. 3 písm. a);

povolovat správní ujednání podle čl. 46 odst. 3 písm. b);

schvalovat závazná podniková pravidla podle článku 47.

není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo

vyhověním žádosti by došlo k porušení tohoto nařízení nebo práva Unie či členského státu, které se na dožádaný dozorový úřad vztahuje.

má za cíl přijmout seznam operací zpracování podléhajících požadavku na posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

se týká záležitosti podle čl. 40 odst. 7, zda je návrh kodexu chování nebo změna či rozšíření kodexu chování v souladu s tímto nařízením;

má za cíl schválit požadavky na akreditaci subjektu podle čl. 41 odst. 3 nebo subjektu pro vydávání osvědčení podle čl. 43 odst. 3 nebo kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

má za cíl stanovit standardní doložky o ochraně údajů podle čl. 46 odst. 2 písm. d) a čl. 28 odst. 8;

má za cíl schválit smluvní doložky podle čl. 46 odst. 3 písm. a); nebo

má za cíl schválit závazná podniková pravidla ve smyslu článku 47.

členům sboru a Komisi veškeré relevantní informace, které byly radě pro ochranu údajů sděleny, a to za použití standardizovaného formátu. V nezbytných případech poskytne sekretariát sboru překlady relevantních informací; a

dozorovému úřadu uvedenému v odstavcích 1 a 2 a Komisi stanovisko, které zveřejní.

►C1  pokud v případě uvedeném v čl. 60 odst. 4 vznesl dotčený dozorový úřad relevantní a odůvodněnou námitku vůči návrhu rozhodnutí vedoucího dozorového úřadu nebo pokud vedoucí dozorový úřad tuto námitku nezohlednil nebo ji zamítl jako irelevantní či nedůvodnou. ◄ Závazné rozhodnutí se týká všech záležitostí, které jsou předmětem relevantní a odůvodněné námitky, zejména dojde-li k porušení tohoto nařízení;

pokud existují protikladné názory ohledně toho, který dotčený dozorový úřad je příslušný pro hlavní provozovnu;

pokud v případech uvedených v čl. 64 odst. 1 příslušný dozorový úřad nepožádá o stanovisko sboru nebo pokud se tento úřad neřídí stanoviskem sboru vydaným podle článku 64. V takovém případě může danou záležitost ohlásit sboru kterýkoliv dotčený dozorový úřad nebo Komise.

monitoruje a zajišťuje řádné uplatňování tohoto nařízení v případech uvedených v článcích 64 a 65, aniž jsou dotčeny úkoly vnitrostátních dozorových úřadů;

poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení;

poskytuje poradenství Komisi ohledně formy a postupů výměny informací mezi správci, zpracovateli a dozorovými úřady pro závazná podniková pravidla;

vydává pokyny, doporučení a osvědčené postupy týkající se postupů pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v čl. 17 odst. 2;

prošetřuje z vlastního podnětu, na žádost některého ze svých členů nebo na žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování tohoto nařízení;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a podmínek, které mají platit pro rozhodnutí založená na profilování podle čl. 22 odst. 2;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 33 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni porušení ohlásit;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce, pokud jde o okolnosti, za jakých je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 34 odst. 1;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě závazných podnikových pravidel, kterými se řídí správci, a závazných podnikových pravidel, kterými se řídí zpracovatelé, a dalších požadavků potřebných k zajištění ochrany osobních údajů dotčených subjektů údajů uvedených v článku 47;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě čl. 49 odst. 1;

vypracovává pokyny pro dozorové úřady o uplatňování opatření uvedených v čl. 58 odst. 1, 2 a 3 a stanoví správní pokuty podle článku 83;

přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů;

vydává pokyny, doporučení a osvědčené postupy v souladu písmenem e) tohoto odstavce pro zavedení společných postupů pro podávání zpráv fyzickými osobami v případě porušení tohoto nařízení podle čl. 54 odst. 2;

podporuje vypracování kodexů chování a zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů podle článků 40 a 42;

schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5 a provozuje veřejný registr mechanismů pro vydávání osvědčení o ochraně údajů a příslušných pečetí či známek podle čl. 42 odst. 8 a správců či zpracovatelů, kteří jsou držiteli osvědčení a jsou usazeni ve třetích zemích, podle čl. 42 odst. 7;

schvaluje požadavky uvedené v čl. 43 odst. 3 pro účely akreditace subjektů pro vydávání osvědčení uvedených v článku 43;

poskytuje Komisi stanovisko k požadavkům na vydání osvědčení uvedeným v čl. 43 odst. 8;

poskytuje Komisi stanovisko k ikonám uvedeným v čl. 12 odst. 7;

poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo v mezinárodní organizaci, i pro posouzení, zda určitá třetí země, určité území nebo jedno čí více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany. Za tímto účelem poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země s ohledem na tuto třetí zemi, území či konkrétní odvětví nebo s mezinárodní organizací;

vydává stanoviska k návrhům rozhodnutí dozorových úřadů podle mechanismu jednotnosti uvedeného v čl. 64 odst. 1, k záležitostem předloženým podle čl. 64 odst. 2 a vydává závazná rozhodnutí podle článku 65, včetně v případech uvedených v článku 66;

podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady;

podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady a případně i s dozorovými úřady třetích zemí nebo s mezinárodními organizacemi;

podporuje výměnu znalostí a dokumentů o právních předpisech v oblasti ochrany údajů a zavedených postupech s dozorovými úřady pro ochranu údajů po celém světě;

vydává stanoviska ke kodexům chování vypracovaným na úrovni Unie podle čl. 40 odst. 9); a

provozuje veřejně přístupný elektronický registr rozhodnutí přijatých dozorovými úřady a soudy k otázkám řešeným v rámci mechanismu jednotnosti.

svolává zasedání sboru a připravuje pro ně pořad jednání;

oznamuje rozhodnutí přijatá sborem podle článku 65 vedoucímu dozorovému úřadu a dotčeným dozorovým úřadům;

zajišťuje včasné plnění úkolů sborem, zejména v souvislosti s mechanismem jednotnosti uvedeným v článku 63.

každodenní fungování sboru;

komunikaci mezi členy sboru, jeho předsedou a Komisí;

komunikaci s jinými institucemi a veřejností;

využívání elektronických prostředků k interní a externí komunikaci;

překlady relevantních informací;

přípravu zasedání sboru a navazující opatření;

přípravu, navrhování a zveřejňování stanovisek, rozhodnutí o urovnání sporů mezi dozorovými úřady a jiných textů přijímaných sborem.

povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

zda k porušení došlo úmyslně nebo z nedbalosti;

kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů;

míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;

veškerá relevantní předchozí porušení správcem či zpracovatelem;

míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

kategorie osobních údajů dotčené daným porušením;

způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře;

v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření;

dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 a

jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43;

povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43;

povinnosti subjektu pro monitorování souladu s kodexem chování podle čl. 41 odst. 4.

základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;

práva subjektů údajů podle článků 12 až 22;

předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49;

jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX;

nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.

kapitoly V o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, se zvláštním zřetelem na rozhodnutí přijatá podle čl. 45 odst. 3 tohoto nařízení a rozhodnutí přijatá podle čl. 25 odst. 6 směrnice 95/46/ES;

kapitoly VII o spolupráci a jednotnosti.