(EU) 2018/1725Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ESText s významem pro EHP.

Publikováno: Úř. věst. L 295, 21.11.2018, s. 39-98 Druh předpisu: Nařízení
Přijato: 21. listopadu 2018 Autor předpisu: Rada Evropské unie
Platnost od: 11. prosince 2018 Nabývá účinnosti: 11. prosince 2018
Platnost předpisu: Ano Pozbývá platnosti:

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.



NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2018/1725

ze dne 23. října 2018

o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen „Listina“) a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) přiznávají každému právo na ochranu osobních údajů, které se jej týkají. Toto právo je rovněž zaručeno článkem 8 Evropské úmluvy o ochraně lidských práv a základních svobod.

(2)

Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (3) přiznává fyzickým osobám právně vymahatelná práva, vymezuje povinnosti správců při zpracovávání údajů v orgánech a subjektech Společenství a zřizuje nezávislý orgán dozoru, evropského inspektora ochrany údajů, který odpovídá za monitorování zpracování osobních údajů orgány a subjekty Unie. Nevztahuje se však na zpracování osobních údajů při činnostech orgánů a subjektů Unie, které nespadají do působnosti práva Unie.

(3)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 (4) a směrnice Evropského parlamentu a Rady (EU) 2016/680 (5) byly přijaty dne 27. dubna 2016. Zatímco nařízení stanoví obecná pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii, směrnice stanoví zvláštní pravidla pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů a zajištění volného pohybu osobních údajů v Unii v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(4)

Nařízení (EU) 2016/679 konstatuje potřebu úpravy nařízení (ES) č. 45/2001 s cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie a umožnit jeho uplatňování zároveň s nařízením (EU) 2016/679.

(5)

V zájmu soudržného přístupu k ochraně osobních údajů v celé Unii je, aby byla pravidla pro ochranu údajů pro orgány, instituce a jiné subjekty Unie v nejvyšší možné míře sladěna s pravidly přijatými pro veřejný sektor v členských státech. Kdekoliv ustanovení tohoto nařízení vycházejí ze stejných zásad jako ustanovení nařízení (EU) 2016/679, měla by být obě ustanovení podle judikatury Soudního dvora Evropské unie (dále jen „Soudní dvůr“) vykládána jednotně, především proto, že režim tohoto nařízení by měl být chápán jako odpovídající režimu nařízení (EU) 2016/679.

(6)

Osoby, jejichž osobní údaje v jakémkoliv kontextu zpracovávají orgány a subjekty Unie, například protože je tyto orgány a subjekty zaměstnávají, by měly být chráněny. Toto nařízení by se nemělo vztahovat na osobní údaje zesnulých osob. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.

(7)

S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích.

(8)

Toto nařízení by se mělo vztahovat na zpracování osobních údajů všemi orgány, institucemi a jinými subjekty Unie. Mělo by se vztahovat na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.

(9)

V prohlášení č. 21 o ochraně osobních údajů v oblasti justiční spolupráce v trestních věcech a policejní spolupráce, připojeném k závěrečnému aktu mezivládní konference, která přijala Lisabonskou smlouvu, konference uznala, že zvláštní pravidla pro ochranu osobních údajů a volný pohyb osobních údajů v oblastech justiční spolupráce v trestních věcech a policejní spolupráce, založená na článku 16 Smlouvy o fungování EU, by se mohla vzhledem ke specifické povaze těchto oblastí ukázat jako nezbytná. Samostatná kapitola tohoto nařízení obsahující obecná pravidla by se proto měla vztahovat na zpracování operativních osobních údajů, kterými jsou například osobní údaje zpracovávané pro účely trestního vyšetřování institucemi a jinými subjekty Unie při výkonu činností v oblastech justiční spolupráce v trestních věcech a policejní spolupráce.

(10)

Směrnice (EU) 2016/680 stanoví harmonizovaná pravidla pro ochranu a volný pohyb osobních údajů zpracovávaných za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Aby byla zajištěna stejná úroveň ochrany fyzických osob prostřednictvím právně vymahatelných práv v celé Unii a zamezilo se rozdílům bránícím výměně osobních údajů mezi institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, a příslušnými orgány, měla by pravidla pro ochranu a volný pohyb operativních osobních údajů zpracovávaných takovými institucemi a jinými subjekty Unie být v souladu se směrnicí (EU) 2016/680.

(11)

Obecná pravidla kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů by měla být použitelná bez dotčení zvláštních pravidel vztahujících se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Tato zvláštní pravidla by měla být považována za lex specialis vůči ustanovením v kapitole tohoto nařízení týkající se zpracovávání operativních osobních údajů (lex specialis derogat legi generali). Ve snaze snížit právní roztříštěnost by měla být zvláštní pravidla pro ochranu osobních údajů vztahující se na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, v souladu se zásadami, z nichž vychází kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů, a také s ustanoveními tohoto nařízení týkajícími se nezávislého dozoru, právní ochrany, odpovědnosti a sankcí.

(12)

Kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů by se měla vztahovat na instituce a jiné subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, ať již provádějí tyto činnosti jako své hlavní nebo vedlejší úkoly, pro účely prevence, odhalování, vyšetřování nebo stíhání trestných činů. Neměla by se však vztahovat na Europol ani na Úřad evropského veřejného žalobce, dokud nebudou právní akty, kterými se zřizuje Europol a Úřad evropského veřejného žalobce, pozměněny tak, aby se na tyto subjekty vztahovala kapitola tohoto nařízení týkající se zpracovávání operativních osobních údajů v pozměněném znění.

(13)

Komise by měla provádět přezkum tohoto nařízení, zejména kapitoly tohoto nařízení týkající se zpracovávání operativních osobních údajů. Komise by také měla provést přezkum jiných právních aktů přijatých na základě Smluv, které upravují zpracovávání operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Po tomto přezkumu by Komise měla mít možnost – ve snaze zajistit jednotnou a důslednou ochranu fyzických osob s ohledem na zpracování osobních údajů – předložit vhodné legislativní návrhy, včetně nezbytných úprav kapitoly tohoto nařízení týkající se zpracování operativních osobních údajů, s cílem dosáhnout toho, aby se vztahovala i na Europol a na Úřad evropského veřejného žalobce. Tyto úpravy by měly zohlednit ustanovení týkající se nezávislého dohledu, opravných prostředků, odpovědnosti a sankcí.

(14)

Na zpracovávání administrativních osobních údajů, jakými jsou například údaje týkající se zaměstnanců, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, by se mělo toto nařízení vztahovat.

(15)

Toto nařízení by se mělo vztahovat na zpracovávání osobních údajů orgány, institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). Toto nařízení by se nemělo vztahovat na zpracovávání osobních údajů při misích uvedených v čl. 42 odst. 1 a v článcích 43 a 44 Smlouvy o EU provádějících společnou bezpečnostní a obrannou politiku. Ve vhodných případech by měly být předloženy relevantní návrhy za účelem další regulace zpracování osobních údajů v oblasti společné bezpečnostní a obranné politiky.

(16)

Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely.

(17)

Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.

(18)

Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.

(19)

Souhlas by měl být udělen jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů udělit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas udělen. Zároveň by měl mít subjekt údajů právo kdykoli souhlas odvolat, aniž je tím dotčena zákonnost zpracování provedená na základě souhlasu před jeho odvoláním. S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel.

(20)

Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným způsobem a korektně. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění korektního a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležité zabezpečení a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování a za účelem zabránění jejich neoprávněnému zpřístupnění v případě jejich předání.

(21)

V souladu se zásadou odpovědnosti, jestliže orgány a subjekty Unie předávají osobní údaje v rámci téhož orgánu nebo subjektu Unie a příjemce není organizační složkou správce, anebo jiným orgánům nebo subjektům Unie, měly by ověřit, zda jsou tyto osobní údaje vyžadovány pro legitimní výkon úkolů spadajících do pravomoci příjemce. Po žádosti příjemce o předání osobních údajů by správce měl zejména ověřit, že existuje relevantní důvod pro zákonné zpracování osobních údajů příjemcem a pravomoc příjemce. Správce by měl provést předběžné hodnocení nezbytnosti předání údajů. Vzniknou-li pochybnosti, zda je předání nezbytné, měl by správce požádat příjemce o doplňující informace. Příjemce by měl zajistit, aby mohla být nezbytnost předání údajů následně ověřena.

(22)

Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě nezbytnosti splnění úkolu prováděného orgány a subjekty Unie ve veřejném zájmu nebo při výkonu veřejné moci, nezbytnosti dodržení zákonné povinnosti, která se na správce vztahuje, nebo s ohledem na nějaký jiný legitimní základ podle tohoto nařízení, včetně souhlasu dotčeného subjektu údajů, nebo nezbytnosti plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy. Zpracování osobních údajů orgány a subjekty Unie za účelem plnění úkolů veřejného zájmu zahrnuje zpracování osobních údajů nezbytných pro řízení a fungování těchto orgánů a institucí. Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.

(23)

Právo Unie uvedené v tomto nařízení by mělo být jasné a přesné a jeho použití by mělo být předvídatelné pro osoby, na něž se vztahuje, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.

(24)

Vnitřní předpisy uvedené v tomto nařízení by měly být jasné a přesné akty s obecnou působností, které mají právní účinky vůči subjektům údajů. Měly by být přijaty na nejvyšší úrovni řízení orgánů a subjektů Unie v rámci jejich pravomocí a v otázkách spojených s jejich fungováním. Měly by být zveřejněny v Úředním věstníku Evropské unie. Použití těchto předpisů by mělo být předvídatelné pro osoby, na něž se vztahují, v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod. Vnitřní předpisy mohou mít podobu rozhodnutí, zejména jsou-li přijaty orgány Unie.

(25)

Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelnou zákonnou operaci zpracování. Právní základ pro zpracování osobních údajů podle práva Unie může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

(26)

Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů udělil k dané operaci zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že uděluje souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (6) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

(27)

Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na vytváření osobnostních profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem na internetových stránkách orgánů a subjektů Unie, jako jsou mezilidské komunikační služby nebo prodej vstupenek na internetu, kdy je zpracování osobních údajů založeno na souhlasu.

(28)

Jestliže by v Unii usazení příjemci jiní než orgány a subjekty Unie chtěli, aby jim orgány a subjekty Unie předaly osobní údaje, měli by prokázat, že předání těchto údajů je nezbytné buď pro plnění jejich úkolů, které vykonávají ve veřejném zájmu, nebo při výkonu veřejné moci, kterým jsou pověřeni. Popřípadě by tito příjemci měli prokázat, že předání těchto údajů je nezbytné pro konkrétní účel ve veřejném zájmu a správce by měl zjistit, zda je důvod se domnívat, že mohou být poškozeny oprávněné zájmy subjektu údajů. V takových případech by měl správce prokazatelně zvážit různé protichůdné zájmy, aby posoudil přiměřenost požadovaného předání osobních údajů. Tyto konkrétní účely ve veřejném zájmu by se mohly týkat transparentnosti orgánů a subjektů Unie. Orgány a subjekty Unie by dále měly tuto nezbytnost prokázat, pokud samy dávají podnět k předání údajů, v souladu se zásadou transparentnosti a řádné správy. Požadavky stanovené v tomto nařízení pro předávání údajů jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie, by měly být chápány jako doplňkové k podmínkám pro zákonné zpracování.

(29)

Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práva a svobody. Tyto osobní údaje by se neměly zpracovávat, pokud nejsou splněny zvláštní podmínky stanovené v tomto nařízení. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Společně se zvláštními požadavky na zpracování citlivých údajů by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů uděluje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

(30)

Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů. Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů. Právo Unie by mělo stanovit specifická a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob.

(31)

Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být „veřejné zdraví“ vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (7), totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby se osobní údaje zpracovávaly pro jiné účely.

(32)

Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.

(33)

Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace údajů). Orgány a subjekty Unie by měly stanovit vhodné záruky v právu Unie, a to i v podobě vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech spojených s jejich fungováním, týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

(34)

Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.

(35)

Zásady korektního a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění korektního a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem smysluplný přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.

(36)

Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich získání od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně získány jinému příjemci, měl by být subjekt údajů informován o jejich prvním zpřístupnění tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.

(37)

Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně o období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví, a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

(38)

Subjekt údajů by měl mít právo na opravu osobních údajů, které se ho týkají, a „právo být zapomenut“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie, které se na správce vztahuje. Subjekt údajů by měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, nebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů udělil souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

(39)

Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.

(40)

Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V automatizovaných evidencích by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

(41)

Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému.

(42)

Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.

(43)

Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje „profilování“, jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká.

Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte. V zájmu zajištění korektního a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči fyzickým osobám na základě rasového nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo zamezit zpracování, které by vedlo k opatřením, jež mají takové účinky. Automatizované rozhodování a profilování založené na zvláštních kategoriích osobních údajů by mělo být povoleno pouze za určitých podmínek.

(44)

Právní akty přijaté na základě Smluv nebo vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech spojených s jejich fungováním mohou uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, důvěrnost elektronických komunikací, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti a pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů. To zahrnuje i ochranu před hrozbami pro veřejnou bezpečnost a jejich předcházení, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro vnitřní bezpečnost orgánů a subjektů Unie, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, a vedení veřejných rejstříků z důvodů obecného veřejného zájmu, nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.

(45)

Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

(46)

Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo o odsouzení v trestních věcech a trestných činech či souvisejících bezpečnostních opatřeních, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(47)

Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelů zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

(48)

Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní předpisy a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

(49)

Nařízení (EU) 2016/679 stanoví, že správci musí dodržování stanovených požadavků doložit tím, že používají schválené mechanismy pro vydávání osvědčení. Obdobně by měly být orgány a subjekty Unie schopny doložit dodržování tohoto nařízení tím, že získají osvědčení v souladu s článkem 42 nařízení (EU) 2016/679.

(50)

Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna za správce.

(51)

Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem za správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na zabezpečení zpracování. Jedním z prvků, jimiž lze doložit, že zpracovatel, který není orgánem ani subjektem Unie, plní povinnosti správce, může být dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení. Provádění zpracování zpracovatelem jiným než orgán nebo subjekt Unie by se mělo řídit smlouvou nebo v případě, že zpracovateli jsou orgány a subjekty Unie, smlouvou nebo jiným právním aktem podle práva Unie, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnostem zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel by měli mít možnost se rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo evropský inspektor ochrany údajů a poté Komise. Po dokončení zpracování za správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje.

(52)

Aby doložili soulad s tímto nařízením, měli by správci vést záznamy o činnostech zpracování, za které odpovídají, a zpracovatelé by měli vést záznamy o kategoriích činností zpracování, za které odpovídají. Orgány a subjekty Unie by měly být povinny spolupracovat s evropským inspektorem ochrany údajů a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Pokud je to vhodné s ohledem na velikost orgánu nebo subjektu Unie, měly by orgány a subjekty Unie mít možnost vytvořit centrální rejstřík záznamů svých činností zpracování. Z důvodů transparentnosti by rovněž měly mít možnost tento rejstřík zpřístupnit veřejnosti.

(53)

V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů nebo neoprávněný přístup k nim, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

(54)

Orgány a subjekty Unie by měly zajistit důvěrnost elektronické komunikace, jak ukládá článek 7 Listiny. Orgány a subjekty Unie by měly zejména zajistit zabezpečení svých sítí elektronických komunikací. Měly by chránit informace týkající se koncových zařízení koncových uživatelů, kteří se připojují na veřejně přístupné internetové stránky a mobilní aplikace, v souladu se směrnicí Evropského parlamentu a Rady 2002/58/ES (8). Měly by rovněž chránit osobní údaje uložené v seznamech uživatelů.

(55)

Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu a, je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit evropskému inspektorovi ochrany údajů, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení. Je-li zpoždění důvodné, měly by být méně citlivé nebo méně konkrétní informace o porušení sděleny co nejdříve, místo aby se čekalo s ohlášením až na úplné vyšetření příslušného incidentu.

(56)

Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s evropským inspektorem ochrany údajů a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů).

(57)

Nařízení (ES) č. 45/2001 stanoví pro správce obecnou povinnost ohlašovat zpracování osobních údajů pověřenci pro ochranu osobních údajů. Pokud je to vhodné s ohledem na velikost daného orgánu nebo subjektu Unie, má pověřenec pro ochranu osobních údajů vést rejstřík ohlášených operací zpracování údajů. Kromě této obecné povinnosti by měly být zavedeny účinné postupy a mechanismy k monitorování operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Tyto postupy by také měly být zavedeny především u těch typů operací zpracování, při nichž jsou používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování. V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

(58)

Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě neexistence záruk, bezpečnostních opatření ani mechanismů ke zmenšení rizika představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Evropský inspektor ochrany údajů by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že evropský inspektor ochrany údajů v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah evropského inspektora ochrany údajů prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací by mělo být možné předložit výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, evropskému inspektorovi ochrany údajů, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

(59)

Evropský inspektor ochrany údajů by měl být informován o správních opatřeních a měly by s ním být konzultovány vnitřní předpisy přijaté orgány a subjekty Unie v záležitostech týkajících se jejich fungování, pokud upravují zpracování osobních údajů, stanoví podmínky pro omezení práv subjektů údajů nebo zavádí odpovídající záruky práv subjektu údajů, aby bylo zajištěno, že zamýšlené zpracování je v souladu s tímto nařízením, zejména pokud jde o zmírnění souvisejících rizik pro subjekt údajů.

(60)

Nařízení (EU) 2016/679 zřizuje Evropský sbor pro ochranu údajů jako subjekt Unie s právní subjektivitou. Sbor by měl přispívat k jednotnému uplatňování nařízení (EU) 2016/679 a směrnice (EU) 2016/680 v celé Unii, například poskytovat Komisi poradenství. Evropský inspektor ochrany údajů by měl současně i nadále vykonávat dozorovou a poradní funkci ve vztahu ke všem orgánům a subjektům Unie, z vlastního podnětu nebo na žádost. Aby byla zajištěna jednotnost pravidel pro ochranu údajů v Unii, měla by se Komise při přípravě návrhů nebo doporučení snažit konzultovat s evropským inspektorem ochrany údajů. Konzultace Komise by měla být povinná po přijetí legislativních aktů nebo během přípravy aktů v přenesené pravomoci a prováděcích aktů vymezených v článcích 289, 290 a 291 Smlouvy o fungování EU a po přijetí doporučení a návrhů týkajících se dohod s třetími zeměmi a mezinárodními organizacemi stanovených v článku 218 Smlouvy o fungování EU, které mají dopad na právo na ochranu osobních údajů. V takových případech by Komise měla povinně konzultovat s evropským inspektorem ochrany údajů s výjimkou případů, kdy nařízení (EU) 2016/679 stanoví povinnou konzultaci Evropského sboru pro ochranu údajů, například o rozhodnutích o odpovídající ochraně nebo aktech v přenesené pravomoci o standardizovaných ikonách a požadavcích na mechanismy pro vydávání osvědčení. Jestliže předmětný akt má zvláštní význam pro ochranu práva a svobod fyzických osob v souvislosti se zpracováním osobních údajů, měla by Komise mít navíc možnost rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech by evropský inspektor ochrany údajů měl jakožto člen Evropského sboru pro ochranu údajů koordinovat svou práci s tímto subjektem s cílem vydat společné stanovisko. Evropský inspektor ochrany údajů a případně Evropský sbor pro ochranu údajů by měli poskytnout písemnou radu ve lhůtě osmi týdnů. Tato lhůta by měla být v naléhavých případech, nebo je-li to jinak vhodné, zkrácena, například pokud Komise připravuje akt v přenesené pravomoci nebo prováděcí akt.

(61)

V souladu s článkem 75 nařízení (EU) 2016/679 by měl evropský inspektor ochrany údajů zajišťovat služby sekretariátu pro Evropský sbor pro ochranu údajů.

(62)

Ve všech orgánech a subjektech Unie by měl pověřenec pro ochranu osobních údajů zajistit, aby se toto nařízení uplatňovalo, a měl by poskytovat poradenství správcům a zpracovatelům při plnění jejich povinností. Pověřencem by měla být osoba s potřebnou úrovní odborných znalostí o právu a praxi v oblasti ochrany údajů, což by se mělo určit zejména podle operací zpracování prováděných správcem nebo zpracovatelem a podle ochrany, která se vyžaduje pro dotčené osobní údaje. Tito pověřenci pro ochranu osobních údajů by měli moci plnit své povinnosti a úkoly nezávisle.

(63)

Pokud jsou osobní údaje předávány z orgánů a subjektů Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, měla by být zaručena úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením. Tytéž záruky by se měly uplatnit v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení a dodržování práv a základních svobod zakotvených v Listině. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

(64)

Komise může rozhodnout podle článku 45 nařízení (EU) 2016/679 nebo podle článku 36 směrnice (EU) 2016/680, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany údajů. V těchto případech orgán nebo subjekt Unie může předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení.

(65)

Jestliže neexistuje rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů nebo smluvních doložek jím schválených. Pokud zpracovatel není orgánem nebo subjektem Unie, mohou tyto vhodné záruky sestávat rovněž ze závazných podnikových pravidel, kodexů chování a mechanismů pro vydávání osvědčení používaných pro mezinárodní předávání podle nařízení (EU) 2016/679. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou být rovněž provedena ze strany orgánů a subjektů Unie orgánům veřejné moci nebo veřejným subjektům ve třetích zemích nebo mezinárodním organizacím s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení evropského inspektora ochrany údajů by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.

(66)

Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo evropským inspektorem ochrany údajů, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo evropským inspektorem ochrany údajů nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.

(67)

Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování orgány a subjekty Unie. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na mezinárodních dohodách platných mezi danou třetí zemí a Unií. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zaručení ochrany fyzických osob zajištěné v Unii tímto nařízením. Předání údajů by mělo být přípustné jen tehdy, jsou-li splněny podmínky předání údajů do třetí země stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je zpřístupnění údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie.

(68)

Pro konkrétní situace by měla být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů udělil výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost předat údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, není-li povoleno právem Unie, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.

(69)

Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány a subjekty Unie a orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů do třetí země nebo mezinárodní organizaci. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.

(70)

Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.

(71)

Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo zpřístupněním těchto údajů. Zároveň se může stát, že vnitrostátní dozorové úřady ani evropský inspektor ochrany údajů nebudou schopni vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných mimo jejich jurisdikci. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady s cílem napomoci jim při výměně informací s příslušnými mezinárodními partnery.

(72)

Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení evropského inspektora ochrany údajů v nařízení (ES) č. 45/2001, který je zmocněn plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Toto nařízení by mělo dále posílit a objasnit jeho roli a nezávislost. Evropský inspektor ochrany údajů by měl být osobou, o jejíž nezávislosti není pochybnost a jež prokázala zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů, například protože působila v dozorových úřadech zřízených podle článku 51 nařízení (EU) 2016/679.

(73)

Aby se zajistilo jednotné monitorování a prosazování pravidel pro ochranu údajů v celé Unii, měl by mít evropský inspektor ochrany údajů tytéž úkoly a účinné pravomoci jako vnitrostátní dozorové úřady, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, pravomocí upozorňovat Soudní dvůr na porušení tohoto nařízení a pravomocí účastnit se právních řízení v souladu s primárním právem. Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Aby se zamezilo zbytečným nákladům a přílišným obtížím pro dotčené osoby, mělo by každé opatření evropského inspektora ochrany údajů být vhodné, nezbytné a přiměřené, aby byl zajištěn soulad s tímto nařízením, mělo by přihlížet k okolnostem každého jednotlivého případu a dodržovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření. Každé právně závazné opatření evropského inspektora ochrany údajů by mělo mít písemnou formu, být jasné a jednoznačné, uvádět datum svého vydání, mělo by být opatřeno podpisem evropského inspektora ochrany údajů a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.

(74)

Pravomoc evropského inspektora ochrany údajů v oblasti dozoru by neměla zahrnovat zpracování osobních údajů Soudním dvorem, pokud jedná v rámci svých soudních pravomocí, aby byla zaručena nezávislost Soudního dvora při plnění soudních funkcí, včetně rozhodování. Pro tyto operace zpracování by Soudní dvůr měl určit nezávislý dozor v souladu s čl. 8 odst. 3 Listiny, například prostřednictvím vnitřního mechanismu.

(75)

Rozhodnutí evropského inspektora ochrany údajů o výjimkách, zárukách, povoleních a podmínkách týkajících se operací zpracování údajů, jak je vymezeno v tomto nařízení, se zveřejňují ve zprávě o činnosti. Nezávisle na zveřejnění výroční zprávy o činnosti může evropský inspektor ochrany údajů zveřejňovat zprávy o jednotlivých tématech.

(76)

Evropský inspektor ochrany údajů by měl dodržovat povinnosti vyplývající z nařízení (ES) č. 1049/2001 (9).

(77)

Vnitrostátní dozorové úřady sledují uplatňování nařízení (EU) 2016/679 a přispívají k jeho jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Aby se zajistila jednotnost při uplatňování pravidel ochrany údajů platných v členských státech a platných pro orgány a subjekty Unie, měl by evropský inspektor ochrany údajů účinně spolupracovat s vnitrostátními dozorovými úřady.

(78)

V některých případech právo Unie stanoví model koordinovaného dozoru sdíleného mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady. Evropský inspektor ochrany údajů je rovněž dozorovým úřadem pro Europol a pro tyto účely byl vytvořen specifický model spolupráce s vnitrostátními dozorovými úřady prostřednictvím Rady spolupráce s poradní funkcí. Aby se zlepšil účinný dozor nad hmotnými pravidly ochrany údajů a jejich vymáhání, měl by být v Unii zaveden jeden soudržný model koordinovaného dozoru. Komise by proto měla případně předložit legislativní návrhy na změnu právních aktů Unie upravujících model koordinovaného dozoru, aby je sladila s modelem koordinovaného dozoru podle tohoto nařízení. Evropský sbor pro ochranu osobních údajů by měl být jediným fórem pro zajištění účinného koordinovaného dozoru ve všech oblastech.

(79)

Každý subjekt údajů by měl mít právo podat stížnost u evropského inspektora ochrany údajů, a právo na účinnou soudní ochranu u Soudního dvora v souladu se Smlouvami, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud evropský inspektor ochrany údajů na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Evropský inspektor ochrany údajů by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další koordinace s vnitrostátním dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl evropský inspektor ochrany údajů přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.

(80)

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, by měl mít právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

(81)

Aby se posílila dozorová role evropského inspektora ochrany údajů a účinné prosazování tohoto nařízení, měl by evropský inspektor ochrany údajů mít pravomoc ukládat v krajních případech jako sankci správní pokuty. Cílem pokut by mělo být potrestat orgán nebo subjekt Unie – spíše nežli jednotlivce – za nedodržení tohoto nařízení, odrazovat od porušování tohoto nařízení a podporovat kulturu ochrany osobních údajů v orgánech a subjektech Unie. Toto nařízení by mělo stanovit porušení postižitelná správní pokutou, jakož i horní hranice a kritéria pro stanovení souvisejících pokut. V každém jednotlivém případě by měl výši pokuty určit evropský inspektor ochrany údajů při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím k povaze, závažnosti a době trvání tohoto porušení, k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Při ukládání správní pokuty orgánu nebo subjektu Unie by měl evropský inspektor ochrany údajů zvážit přiměřenost výše pokuty. Správní řízení o uložení pokut orgánům a subjektům Unie by mělo dodržovat obecné zásady práva Unie, jak jsou vykládány Soudním dvorem.

(82)

Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit neziskový subjekt, organizaci nebo sdružení, jež jsou založeny v souladu s právem Unie nebo právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany osobních údajů, aby jeho jménem podaly stížnost u evropského inspektora ochrany údajů. Takový subjekt, organizace nebo sdružení by rovněž měly mít možnost jménem subjektu údajů uplatnit právo na soudní ochranu nebo právo na náhradu újmy.

(83)

Úředník nebo jiný zaměstnanec Unie, který poruší povinnosti stanovené tímto nařízením, by měl podléhat disciplinárním nebo jiným úkonům v souladu s pravidly a postupy stanovenými ve služebním řádu úředníků Evropské unie a v pracovním řádu ostatních zaměstnanců Unie, stanovených v nařízení Rady (EHS, Euratom, ESUO) č. 259/68 (10) (dále jen „služební řád“).

(84)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (11). Přezkumný postup by se měl použít pro přijetí standardních smluvních doložek mezi správci a zpracovateli a mezi zpracovateli navzájem, pro přijetí seznamu operací zpracování údajů vyžadujících, aby správci zpracovávající osobní údaje pro vykonání úkolu ve veřejném zájmu předem konzultovali evropského inspektora ochrany údajů, a pro přijetí standardních smluvních doložek stanovujících vhodné záruky pro mezinárodní předávání.

(85)

Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 (12).

(86)

Nařízení (ES) č. 45/2001 a rozhodnutí Evropského parlamentu, Rady a Komise č. 1247/2002/ES (13) by měla být zrušena. Odkazy na zrušené nařízení a rozhodnutí by se měly považovat za odkazy na toto nařízení.

(87)

Aby byla zaručena úplná nezávislost členů nezávislého dozorového úřadu, nemělo by být tímto nařízením dotčeno funkční období stávajícího evropského inspektora ochrany údajů a stávajícího zástupce inspektora. Stávající zástupce inspektora by měl zůstat ve funkci do konce svého funkčního období, nenaplní-li se jedna z podmínek pro předčasné skončení funkčního období evropského inspektora ochrany údajů stanovená v tomto nařízení. Příslušná ustanovení tohoto nařízení by se měla vztahovat na zástupce inspektora do konce jeho funkčního období.

(88)

V souladu se zásadou proporcionality je pro dosažení základního cíle zajištění přiměřené úrovně ochrany fyzických osob ve vztahu ke zpracování osobních údajů a volného pohybu osobních údajů v Unii nezbytné a vhodné stanovit pravidla pro zpracování osobních údajů orgány a subjekty Unie. Toto nařízení nepřekračuje rámec toho, co je pro dosažení sledovaných cílů nezbytné, v souladu s čl. 5 odst. 4 Smlouvy o EU.

(89)

V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 15. března 2017 (14),

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

OBECNÁ USTANOVENÍ

Článek 1

Předmět a cíle

1.   Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů orgány a subjekty Unie a pravidla týkající se volného pohybu osobních údajů mezi nimi navzájem nebo mezi nimi a jinými příjemci, kteří jsou usazeni v Unii.

2.   Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

3.   Evropský inspektor ochrany údajů monitoruje uplatňování tohoto nařízení na všechny operace zpracování prováděné orgánem nebo subjektem Unie.

Článek 2

Oblast působnosti

1.   Toto nařízení se vztahuje na zpracování osobních údajů všemi orgány a subjekty Unie.

2.   Na zpracovávání operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, se vztahují pouze článek 3 a kapitola IX tohoto nařízení.

3.   Toto nařízení se nevztahuje na zpracovávání operativních osobních údajů Europolem a Úřadem evropského veřejného žalobce, dokud nebudou nařízení Evropského parlamentu a Rady (EU) 2016/794 (15) a nařízení Rady (EU) 2017/1939 (16) upravena v souladu s článkem 98 tohoto nařízení.

4.   Toto nařízení se nevztahuje na zpracování osobních údajů misemi uvedenými v čl. 42 odst. 1 a v článcích 43 a 44 Smlouvy o EU.

5.   Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

Článek 3

Definice

Pro účely tohoto nařízení se rozumí:

1)

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2)

„operativními osobními údaji“ veškeré osobní údaje zpracovávané institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, za účelem splnění cílů a úkolů stanovených v právních aktech, kterými se tyto instituce nebo jiné subjekty zřizují;

3)

„zpracováním“ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

4)

„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

5)

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

6)

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

7)

„evidencí“ jakýkoli strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

8)

„správcem“ orgán nebo subjekt Unie nebo generální ředitelství či jakýkoli jiný organizační celek, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny zvláštním aktem Unie, může správce nebo zvláštní kritéria pro jeho určení stanovit právo Unie;

9)

„správci jinými než orgány a subjekty Unie“ správci ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679 a správci ve smyslu čl. 3 bodu 8 směrnice (EU) 2016/680;

10)

„orgány a subjekty Unie“ orgány, instituce a jiné subjekty Unie zřízené Smlouvou o EU, Smlouvou o fungování EU nebo Smlouvou o Euratomu nebo na základě těchto smluv;

11)

„příslušným orgánem“ jakýkoli orgán veřejné moci členského státu příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

12)

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje za správce;

13)

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje zpřístupněny, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem Unie nebo členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

14)

„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli a oprávněnou ke zpracování osobních údajů;

15)

„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

16)

„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

17)

„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

18)

„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

19)

„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

20)

„službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice Evropského parlamentu a Rady (EU) 2015/1535 (17);

21)

„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě;

22)

„vnitrostátním dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51 nařízení (EU) 2016/679 nebo podle článku 41 směrnice (EU) 2016/680;

23)

„uživatelem“ jakákoliv fyzická osoba používající síť nebo koncové zařízení provozované pod kontrolou orgánu nebo subjektu Unie;

24)

„seznamem“ veřejně dostupný seznam uživatelů nebo interní seznam uživatelů dostupný uvnitř orgánu nebo subjektu Unie nebo sdílený mezi orgány a subjekty Unie v tištěné či elektronické formě;

25)

„sítí elektronických komunikací“ přenosový systém bez ohledu na to, zda využívá trvalou infrastrukturu nebo centralizovanou kapacitu veřejné správy, a případně spojovací nebo směrovací zařízení a jiné prostředky, včetně neaktivních síťových prvků, které umožňují přenos signálů po vedení, rádiovými, optickými nebo jinými elektromagnetickými prostředky, včetně družicových sítí, pevných (okruhově a paketově komutovaných, včetně internetu) a mobilních pozemních sítí, sítí pro rozvod elektrické energie, pokud jsou používány pro přenos signálů, sítí pro rozhlasové a televizní vysílání a sítí kabelové televize, přičemž nezáleží na typu přenášených informací;

26)

„koncovým zařízením“ koncové zařízení ve smyslu čl. 1 bodu 1 směrnice Komise 2008/63/ES (18).

KAPITOLA II

OBECNÉ ZÁSADY

Článek 4

Zásady zpracování osobních údajů

1.   Osobní údaje musí být:

a)

ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle článku 13 nepovažuje za neslučitelné s původními účely („účelové omezení“);

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)

přesné a v případě potřeby průběžně aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle článku 13, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);

f)

zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Článek 5

Zákonnost zpracování

1.   Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)

zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je orgán nebo subjekt Unie pověřen;

b)

zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

c)

zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro přijetí opatření na žádost tohoto subjektu údajů před uzavřením smlouvy;

d)

subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

e)

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby.

2.   Základ pro zpracování podle odst. 1 písm. a) a b) musí být stanoven právem Unie.

Článek 6

Zpracování pro jiný slučitelný účel

Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 25 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)

jakoukoli vazbu mezi účely, pro které byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)

okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)

povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 10 nebo zda jsou zpracovávány osobní údaje týkající se odsouzení v trestních věcech a trestných činů podle článku 11;

d)

možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)

existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Článek 7

Podmínky udělení souhlasu

1.   Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

2.   Pokud je souhlas subjektu údajů udělen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.

3.   Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním. Před udělením souhlasu o tom musí být subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej udělit.

4.   Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Článek 8

Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1.   Pokud se použije čl. 5 odst. 1 písm. d) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 13 let. Je-li dítě mladší 13 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas udělen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

2.   Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas udělen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

3.   Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

Článek 9

Předávání osobních údajů jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie

1.   Aniž jsou dotčeny články 4, 5, 6 a 10, lze osobní údaje předávat jiným příjemcům usazeným v Unii, než jsou orgány a subjekty Unie, pouze pokud:

a)

příjemce shledá, že údaje jsou nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je příjemce pověřen, nebo

b)

příjemce shledá, že předání údajů je nezbytné pro konkrétní účel ve veřejném zájmu, a správce v případě, že je důvod se domnívat, že mohou být poškozeny oprávněné zájmy subjektu údajů, shledá poté, co prokazatelně zváží různé protichůdné zájmy, že je přiměřené tyto osobní údaje pro tento konkrétní účel předat.

2.   Pokud podnět k předání údajů podle tohoto článku učiní správce, musí za použití kritérií stanovených v odst. 1 písm. a) nebo b) prokázat, že předání osobních údajů je nezbytné a přiměřené účelům předání.

3.   Orgány a subjekty Unie uvedou právo na ochranu osobních údajů do souladu s právem na přístup k dokumentům v souladu s právem Unie.

Článek 10

Zpracování zvláštních kategorií osobních údajů

1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

a)

subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

b)

zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie poskytujícím vhodné záruky základních práv a zájmů subjektu údajů;

c)

zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

d)

zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami neziskový subjekt integrovaný do orgánu nebo subjektu Unie, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;

e)

zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;

f)

zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků, nebo pokud Soudní dvůr jedná v rámci svých soudních pravomocí;

g)

zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky základních práv a zájmů subjektu údajů;

h)

zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 3;

i)

zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie, které poskytuje vhodné a konkrétní práv a svobod subjektu údajů, zejména služebního tajemství;

j)

zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky základních práv a zájmů subjektu údajů.

3.   Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím podle práva Unie nebo členského státu či pravidel stanovených příslušnými vnitrostátními orgány nebo na jeho odpovědnost, nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu či pravidel stanovených příslušnými vnitrostátními orgány.

Článek 11

Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 5 odst. 1 se provádí pouze pod dozorem orgánu veřejné moci, nebo pokud je povoleno právem Unie poskytujícím vhodné záruky práv a svobod subjektů údajů.

Článek 12

Zpracování, které nevyžaduje identifikaci

1.   Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.

2.   Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 17 až 22, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.

Článek 13

Záruky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů. Tyto záruky zajistí, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Tato opatření mohou zahrnovat pseudonymizaci za podmínky, že lze tímto způsobem splnit sledované účely. Pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem.

KAPITOLA III

PRÁVA SUBJEKTŮ ÚDAJŮ

ODDÍL 1

Transparentnost a postupy

Článek 14

Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1.   Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 15 a 16 a učinil veškerá sdělení podle článků 17 až 24 a 35 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že totožnost subjektu údajů je prokázána jinými způsoby.

2.   Správce usnadňuje výkon práv subjektu údajů podle článků 17 až 24. V případech uvedených v čl. 12 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 17 až 24, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.

3.   Správce poskytne subjektu údajů informace o opatřeních přijatých na žádost podle článků 17 až 24, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

4.   Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u evropského inspektora ochrany údajů a žádat o soudní ochranu.

5.   Informace podle článků 15 a 16 a veškerá sdělení a veškerá opatření podle článků 17 až 24 a 35 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

6.   Aniž je dotčen článek 12, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 17 až 23, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

7.   Informace, které mají být subjektům údajů poskytnuty podle článků 15 a 16, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.

8.   Pokud Komise přijme akty v přenesené pravomoci v souladu s čl. 12 odst. 8 nařízení (EU) 2016/679 určující informace, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon, poskytnou orgány a subjekty Unie tam, kde je to vhodné, informace podle článků 15 a 16 tohoto nařízení doplněné takovými standardizovanými ikonami.

ODDÍL 2

Informace a přístup k osobním údajům

Článek 15

Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1.   Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

a)

totožnost a kontaktní údaje správce;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)

případné příjemce nebo kategorie příjemců osobních údajů;

e)

případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předávání uvedeného v článku 48, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace nezbytné pro zajištění korektního a transparentního zpracování:

a)

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu či výmaz nebo omezení zpracování, nebo případného práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)

pokud je zpracování založeno na čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním;

d)

existence práva podat stížnost u evropského inspektora ochrany údajů;

e)

skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutný pro uzavření smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, jakož i možné důsledky neposkytnutí těchto údajů;

f)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3.   Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

4.   Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Článek 16

Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1.   Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

a)

totožnost a kontaktní údaje správce;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)

kategorie dotčených osobních údajů;

e)

případné příjemce nebo kategorie příjemců osobních údajů;

f)

případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předávání uvedeného v článku 48, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace nezbytné pro zajištění korektního a transparentního zpracování ve vztahu k subjektu údajů:

a)

doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)

existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu či výmaz nebo omezení zpracování, nebo případného práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)

pokud je zpracování založeno na čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování provedeného na základě souhlasu před jeho odvoláním;

d)

existence práva podat stížnost u evropského inspektora ochrany údajů;

e)

zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

f)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3.   Správce poskytne informace uvedené v odstavcích 1 a 2:

a)

v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b)

nejpozději v okamžiku prvního sdělení danému subjektu údajů, mají-li být osobní údaje použity pro účely komunikace s ním, nebo

c)

nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

4.   Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5.   Odstavce 1 až 4 se nepoužijí, pokud a do té míry, v níž:

a)

subjekt údajů již uvedené informace má;

b)

se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

c)

je získávání nebo zpřístupnění výslovně stanoveno právem Unie, v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů, nebo

d)

osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie, včetně zákonné povinnosti mlčenlivosti.

6.   V případech uvedených v odst. 5 písm. b) přijme správce vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, včetně zveřejnění informací.

Článek 17

Právo subjektu údajů na přístup k osobním údajům

1.   Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou, či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a)

účely zpracování;

b)

kategorie dotčených osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz osobních údajů nebo omezení zpracování osobních údajů týkajících se subjektu údajů nebo vznést námitku proti tomuto zpracování;

f)

existence práva podat stížnost u evropského inspektora ochrany údajů;

g)

veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h)

skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 24 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2.   Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 48, které se vztahují na předání.

3.   Správce poskytne kopii zpracovávaných osobních údajů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

4.   Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 3

Oprava a výmaz

Článek 18

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Článek 19

Právo na výmaz („právo být zapomenut“)

1.   Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a)

osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)

subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c)

subjekt údajů vznese námitky proti zpracování podle čl. 23 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování;

d)

osobní údaje byly zpracovány protiprávně;

e)

osobní údaje musí být vymazány ke splnění právní povinnosti, která se na správce vztahuje;

f)

osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

2.   Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, nebo správce jiné než orgány a subjekty Unie, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

3.   Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:

a)

pro výkon práva na svobodu projevu a informace;

b)

pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

c)

z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 10 odst. 2 písm. h) a i) a odst. 3;

d)

pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování, nebo

e)

pro určení, výkon nebo obhajobu právních nároků.

Článek 20

Právo na omezení zpracování

1.   Subjekt údajů má právo vymoci si u správce omezení zpracování v kterémkoli z těchto případů:

a)

subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů, včetně jejich úplnosti, ověřit;

b)

zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c)

správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d)

subjekt údajů vznesl námitku proti zpracování podle čl. 23 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2.   Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3.   Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem informován před zrušením omezení zpracování.

4.   V automatizovaných evidencích je omezení zpracování v zásadě zajišťováno technickými prostředky. V systému je uvedeno, že zpracování daných osobních údajů je omezeno, aby bylo jasné, že tyto osobní údaje nelze používat.

Článek 21

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 18, čl. 19 odst. 1 a článkem 20, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Článek 22

Právo na přenositelnost údajů

1.   Subjekt údajů má právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a)

zpracování je založeno na souhlasu podle čl. 5 odst. 1 písm. d) nebo čl. 10 odst. 2 písm. a) nebo na smlouvě podle čl. 5 odst. 1 písm. c) a

b)

zpracování se provádí automatizovaně.

2.   Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému nebo správcům jiným než orgány a subjekty Unie, je-li to technicky proveditelné.

3.   Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 19. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

4.   Právem uvedeným v odstavci 1 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

ODDÍL 4

Právo vznést námitku a automatizované individuální rozhodoVÁNÍ

Článek 23

Právo vznést námitku

1.   Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 5 odst. 1 písm. a), včetně profilování založeného na tomto ustanovení. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2.   Subjekt údajů je na právo uvedené v odstavci 1 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

3.   Aniž jsou dotčeny články 36 a 37, může subjekt údajů v souvislosti s využíváním služeb informační společnosti uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.

4.   Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Článek 24

Automatizované individuální rozhodování, včetně profilování

1.   Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2.   Odstavec 1 se nepoužije, pokud je rozhodnutí:

a)

nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem;

b)

povoleno právem Unie, které rovněž stanoví vhodné záruky práv a svobod a oprávněných zájmů subjektu údajů, nebo

c)

založeno na výslovném souhlasu subjektu údajů.

3.   V případech uvedených v odst. 2 písm. a) a c) provede správce vhodná opatření s cílem zaručit práva a svobody a oprávněné zájmy subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

4.   Rozhodnutí uvedená v odstavci 2 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v čl. 10 odst. 1, pokud se neuplatní čl. 10 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření s cílem zaručit práva a svobody a oprávněné zájmy subjektu údajů.

ODDÍL 5

Omezení

Článek 25

Omezení

1.   Právní akty přijaté na základě Smluv nebo, v záležitostech souvisejících s fungováním orgánů a subjektů Unie, vnitřní předpisy přijaté orgány a subjekty Unie mohou omezit použití článků 14 až 22, 35 a 36, jakož i článku 4 v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zaručit:

a)

národní bezpečnost, veřejnou bezpečnost nebo obranu členských států;

b)

prevenci, vyšetřování, odhalování a stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

c)

jiné důležité cíle obecného veřejného zájmu Unie nebo některého členského státu, zejména cíle společné zahraniční a bezpečnostní politiky Unie nebo důležitý hospodářský nebo finanční zájem Unie nebo některého členského státu, včetně měnových, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

d)

vnitřní bezpečnost orgánů a subjektů Unie, včetně jejich sítí elektronických komunikací;

e)

ochranu nezávislosti soudnictví a soudních řízení;

f)

prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

g)

monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až c);

h)

ochranu subjektu údajů nebo práv a svobod druhých;

i)

vymáhání občanskoprávních nároků.

2.   Každý právní akt nebo vnitřní předpis uvedený v odstavci 1 zejména obsahuje konkrétní ustanovení alespoň, je-li to relevantní, pokud jde o:

a)

účely zpracování nebo kategorie zpracování;

b)

kategorie osobních údajů;

c)

rozsah zavedených omezení;

d)

záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

e)

specifikaci správce nebo kategorie správců;

f)

doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování a

g)

rizika pro práva a svobody subjektů údajů.

3.   Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, může právo Unie, včetně vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech souvisejících s jejich fungováním, stanovit odchylky od práv uvedených v článcích 17, 18, 20 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

4.   Jsou-li osobní údaje zpracovávány pro účely archivace ve veřejném zájmu, může právo Unie, včetně vnitřních předpisů přijatých orgány a subjekty Unie v záležitostech souvisejících s jejich fungováním, stanovit odchylky od práv uvedených v článcích 17, 18, 20, 21, 22 a 23, s výhradou podmínek a záruk uvedených v článku 13, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

5.   Vnitřní předpisy uvedené v odstavcích 1, 3 a 4 musí být jasné a přesné akty s obecnou působností, které mají právní účinky vůči subjektům údajů, jsou přijaty na nejvyšší úrovni řízení orgánů a subjektů Unie a podléhají zveřejnění v Úředním věstníku Evropské unie.

6.   Uplatňuje-li se omezení podle odstavce 1, je subjekt údajů v souladu s právem Unie informován o hlavních důvodech pro použití omezení a o svém právu podat stížnost u evropského inspektora ochrany údajů.

7.   Je-li omezení podle odstavce 1 uloženo za účelem odepření přístupu subjektu údajů, sdělí evropský inspektor ochrany údajů při posuzování stížnosti subjektu údajů, zda byly údaje zpracovány řádně, a pokud nebyly, zda byla učiněna příslušná náprava.

8.   Poskytnutí informací uvedených odstavcích 6 a 7 tohoto článku a v čl. 45 odst. 2 lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle odstavce 1 tohoto článku.

KAPITOLA IV

SPRÁVCE A ZPRACOVATEL

ODDÍL 1

Obecné povinnosti

Článek 26

Odpovědnost správce

1.   S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2.   Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

3.   Jedním z prvků, jimiž lze doložit, že správce plní své povinnosti, je dodržování schválených mechanismů pro vydávání osvědčení uvedených v článku 42 nařízení (EU) 2016/679.

Článek 27

Záměrná a standardní ochrana údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je účinným způsobem provádět zásady ochrany údajů, jako je minimalizace údajů, a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.

2.   Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

3.   Jedním z prvků, jimiž lze doložit plnění požadavků stanovených v odstavcích 1 a 2 tohoto článku, je schválený mechanismus pro vydávání osvědčení podle článku 42 nařízení (EU) 2016/679.

Článek 28

Společní správci

1.   Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, anebo dva nebo více správců společně s jedním nebo více správci jinými než orgány a subjekty Unie, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění svých povinností týkajících se ochrany údajů, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 15 a 16, pokud tuto odpovědnost společných správců nestanoví právo Unie nebo členského státu, které se na společné správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.

2.   Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektům údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.

3.   Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení ohledně každého ze správců i vůči každému z nich.

Článek 29

Zpracovatel

1.   Pokud má být zpracování provedeno za správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

2.   Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.   Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)

zpracovává osobní údaje pouze na základě doložených pokynů správce, a to i pokud jde o předávání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na zpracovatele vztahuje; v takovém případě zpracovatel informuje správce o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

b)

zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

přijme všechna opatření požadovaná podle článku 33;

d)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;

e)

při zohlednění povahy zpracování je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění jeho povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)

je správci nápomocen při zajišťování souladu s povinnostmi podle článků 33 až 41, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;

g)

v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

h)

poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.

4.   Pokud zpracovatel zapojí dalšího zpracovatele, aby za správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti v oblasti ochrany údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností uvedeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

5.   Není-li zpracovatel orgánem nebo subjektem Unie, je jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, skutečnost, že zpracovatel dodržuje schválený kodex chování uvedený v čl. 40 odst. 5 nařízení (EU) 2016/679 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42 nařízení (EU) 2016/679.

6.   Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného zpracovateli jinému než orgán nebo subjekt Unie podle článku 42 nařízení (EU) 2016/679.

7.   Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 96 odst. 2.

8.   Pro záležitosti uvedené v odstavcích 3 a 4 může standardní smluvní doložky přijmout evropský inspektor ochrany údajů.

9.   Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.

10.   Aniž jsou dotčeny články 65 a 66, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 30

Zpracovávání z pověření správce nebo zpracovatele

Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo členského státu.

Článek 31

Záznamy o činnostech zpracování

1.   Každý správce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

a)

jméno a kontaktní údaje správce, pověřence pro ochranu osobních údajů a případného zpracovatele a společného správce;

b)

účely zpracování;

c)

popis kategorií subjektů údajů a kategorií osobních údajů;

d)

kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců v členských státech, třetích zemích nebo mezinárodních organizacích;

e)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

f)

je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

g)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

2.   Každý zpracovatel vede záznamy o všech kategoriích činností zpracování prováděných za správce, jež obsahují:

a)

jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, za něhož zpracovatel jedná, a pověřence pro ochranu osobních údajů;

b)

kategorie zpracování prováděného za každého ze správců;

c)

informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a doložení vhodných záruk;

d)

je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 33.

3.   Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.

4.   Orgány a subjekty Unie poskytnou záznamy na požádání evropskému inspektorovi ochrany údajů.

5.   Orgány a subjekty Unie uchovávají své záznamy o zpracování v centrálním rejstříku, ledaže to není přiměřené vzhledem k velikosti daného orgánu či subjektu Unie. Tento rejstřík zpřístupní veřejnosti.

Článek 32

Spolupráce s evropským inspektorem ochrany údajů

Orgány a subjekty Unie spolupracují na požádání s evropským inspektorem ochrany údajů při plnění jeho úkolů.

ODDÍL 2

Zabezpečení osobních údajů

Článek 33

Zabezpečení zpracování

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

a)

pseudonymizace a šifrování osobních údajů;

b)

schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;

c)

schopnosti obnovit včas dostupnost osobních údajů a přístup k nim v případě fyzických či technických incidentů;

d)

procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

2.   Při posuzování náležité úrovně zabezpečení se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3.   Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie.

4.   Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42 nařízení (EU) 2016/679.

Článek 34

Ohlašování případů porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů

1.   Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí evropskému inspektorovi ochrany údajů, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.   Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3.   Ohlášení uvedené v odstavci 1 musí přinejmenším obsahovat:

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4.   Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5.   Správce informuje o porušení zabezpečení osobních údajů pověřence pro ochranu osobních údajů.

6.   Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí evropskému inspektorovi ochrany údajů umožnit ověření souladu s tímto článkem.

Článek 35

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.   Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2.   V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 34 odst. 3 písm. b), c) a d).

3.   Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c)

oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.   Jestliže správce dotčenému subjektu údajů ještě neoznámil porušení zabezpečení osobních údajů, může evropský inspektor ochrany údajů po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

ODDÍL 3

Důvěrnost elektronických komunikací

Článek 36

Důvěrnost elektronických komunikací

Orgány a subjekty Unie zajistí důvěrnost elektronických komunikací, zejména zabezpečením svých sítí elektronických komunikací.

Článek 37

Ochrana informací přenášených do koncových zařízení uživatelů, uchovávaných v těchto zařízeních, souvisejících s těmito zařízeními, zpracovávaných v těchto zařízeních a z těchto zařízení shromažďovaných

Orgány a subjekty Unie chrání informace přenášené do koncových zařízení uživatelů, uchovávané v těchto zařízeních, související s těmito zařízeními, zpracovávané v těchto zařízeních a shromažďované z těchto zařízení při přístupu uživatelů na jejich veřejně dostupné internetové stránky a mobilní aplikace v souladu s čl. 5 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES.

Článek 38

Seznamy uživatelů

1.   Osobní údaje uvedené v seznamech uživatelů a přístup k těmto seznamům jsou omezeny na to, co je nezbytně nutné pro zvláštní účely seznamu.

2.   Orgány a subjekty Unie přijmou všechna nezbytná opatření, aby zabránily použití osobních údajů obsažených v těchto seznamech bez ohledu na to, zda jsou, či nejsou dostupné veřejnosti, pro účely přímého marketingu.

ODDÍL 4

Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

Článek 39

Posouzení vlivu na ochranu osobních údajů

1.   Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné vysoké riziko, může stačit jedno posouzení.

2.   Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů.

3.   Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)

systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)

rozsáhlé zpracovávání zvláštních kategorií údajů uvedených v článku 10 nebo osobních údajů týkajících se odsouzení v trestních věcech a trestných činů uvedených v článku 11, nebo

c)

rozsáhlé systematické monitorování veřejně přístupných prostorů.

4.   Evropský inspektor ochrany údajů sestaví a zveřejní seznam druhů operací zpracování, na něž se vztahuje požadavek na posouzení vlivu na ochranu osobních údajů podle odstavce 1.

5.   Evropský inspektor ochrany údajů může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné.

6.   Před přijetím seznamů podle odstavců 4 a 5 tohoto článku evropský inspektor ochrany údajů požádá Evropský sbor pro ochranu údajů, zřízený článkem 68 nařízení (EU) 2016/679, aby tyto seznamy přezkoumal v souladu s čl. 70 odst. 1 písm. e) uvedeného nařízení, pokud se týkají operací zpracování prováděných společně dvěma nebo více správci jinými než orgány a subjekty Unie.

7.   Posouzení obsahuje alespoň:

a)

systematický popis zamýšlených operací zpracování a účely zpracování;

b)

posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)

posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1 a

d)

plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8.   Dodržování schválených kodexů chování podle článku 40 nařízení (EU) 2016/679 příslušnými zpracovateli jinými než orgány a subjekty Unie se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9.   Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana veřejných zájmů nebo zabezpečení operací zpracování.

10.   Pokud má zpracování podle čl. 5 odst. 1 písm. a) nebo b) právní základ v právním aktu přijatém na základě Smluv, který upravuje konkrétní operaci nebo soubor operací zpracování, a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního aktu, odstavce 1 až 6 tohoto článku se nepoužijí, ledaže by dotyčný právní akt stanovil jinak.

11.   Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 40

Předchozí konzultace

1.   Pokud z posouzení vlivu na ochranu osobních údajů podle článku 39 vyplývá, že by zpracování v případě neexistence záruk, bezpečnostních opatření ani mechanismů ke zmírnění rizika představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmírnit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, musí před zahájením zpracování konzultovat evropského inspektora ochrany údajů. Správce se poradí s pověřencem pro ochranu osobních údajů, zda je potřeba předchozí konzultace.

2.   Pokud se evropský inspektor ochrany údajů domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Evropský inspektor ochrany údajů informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud evropský inspektor ochrany údajů neobdrží veškeré informace, o které požádal pro účely konzultace.

3.   Při konzultaci evropského inspektora ochrany údajů podle odstavce 1 mu správce poskytne informace o těchto aspektech:

a)

ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování;

b)

účely a způsoby zamýšleného zpracování;

c)

opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

d)

kontaktní údaje pověřence pro ochranu osobních údajů;

e)

posouzení vlivu na ochranu osobních údajů podle článku 39 a

f)

veškeré další informace, o které evropský inspektor ochrany údajů požádá.

4.   Komise může prostřednictvím prováděcího aktu stanovit seznam případů, ve kterých správci musí konzultovat evropského inspektora ochrany údajů a získat od něj předchozí povolení, pokud jde o zpracování osobních údajů správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.

ODDÍL 5

Informace a legislativní konzultace

Článek 41

Informace a konzultace

1.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o vypracování správních opatření a vnitřních předpisů souvisejících se zpracováním osobních údajů orgánem nebo subjektem Unie, ať již samostatně, nebo společně s jinými orgány či subjekty.

2.   Orgány a subjekty Unie konzultují s evropským inspektorem ochrany údajů při vypracovávání vnitřních předpisů uvedených v článku 25.

Článek 42

Legislativní konzultace

1.   Po přijetí návrhů legislativních aktů, doporučení nebo návrhů pro Radu podle článku 218 Smlouvy o fungování EU a při přípravě aktů v přenesené pravomoci nebo prováděcích aktů konzultuje Komise evropského inspektora ochrany údajů, mají-li vliv na ochranu práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů.

2.   Má-li akt uvedený v odstavci 1 zvláštní význam pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů, může Komise rovněž konzultovat Evropský sbor pro ochranu osobních údajů. V takových případech evropský inspektor ochrany údajů a Evropský sbor pro ochranu údajů koordinují svou práci s cílem vydat společné stanovisko.

3.   Poradenství uvedené v odstavcích 1 a 2 se poskytuje písemně ve lhůtě osmi týdnů od obdržení žádosti o konzultaci uvedenou v odstavcích 1 a 2. V naléhavých nebo jinak vhodných případech může Komise tuto lhůtu zkrátit.

4.   Tento článek se nepoužije, musí-li Komise podle nařízení (EU) 2016/679 konzultovat Evropský sbor pro ochranu údajů.

ODDÍL 6

Pověřenec pro ochranu osobních údajů

Článek 43

Jmenování pověřence pro ochranu osobních údajů

1.   Každý orgán nebo subjekt Unie jmenuje pověřence pro ochranu osobních údajů.

2.   Orgány a subjekty Unie mohou jmenovat jediného pověřence pro ochranu osobních údajů pro několik z nich, s přihlédnutím ke své organizační struktuře a velikosti.

3.   Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 45.

4.   Pověřenec pro ochranu osobních údajů musí být zaměstnancem orgánu nebo subjektu Unie. Orgány a subjekty Unie mohou s přihlédnutím ke své velikosti a za podmínky, že možnost stanovená v odstavci 2 není využita, jmenovat inspektora ochrany údajů, který plní své úkoly na základě smlouvy o poskytování služeb.

5.   Orgány a subjekty Unie zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je evropskému inspektorovi ochrany údajů.

Článek 44

Postavení pověřence pro ochranu osobních údajů

1.   Orgány a subjekty Unie zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

2.   Orgány a subjekty Unie podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 45 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, přístup k osobním údajům a operacím zpracování a zdroje nezbytné k udržování jeho odborných znalostí.

3.   Orgány a subjekty Unie zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů nesmí být správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

4.   Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.

5.   Pověřenec pro ochranu osobních údajů a jeho zaměstnanci jsou v souvislosti s výkonem svých úkolů vázáni tajemstvím nebo důvěrností, v souladu s právem Unie.

6.   Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

7.   Správce a zpracovatel, příslušný výbor zaměstnanců nebo jakákoli fyzická osoba mohou pověřence pro ochranu osobních údajů konzultovat přímo v jakékoli záležitosti týkající se výkladu nebo používání tohoto nařízení, aniž by využívali úřední cesty. Nikomu nesmí být na újmu, že upozornil příslušného pověřence pro ochranu osobních údajů na skutečnost, při níž podle něj došlo k porušení tohoto nařízení.

8.   Pověřenec pro ochranu osobních údajů je jmenován na funkční období tří až pěti let a může být jmenován opětovně. Přestane-li splňovat podmínky požadované pro výkon své funkce, může jej z funkce pověřence pro ochranu osobních údajů odvolat orgán nebo subjekt Unie, který ho jmenoval, a to pouze se souhlasem evropského inspektora ochrany údajů.

9.   Po jmenování pověřence pro ochranu osobních údajů sdělí orgán nebo subjekt Unie, který jej jmenoval, jeho jméno evropskému inspektorovi ochrany údajů.

Článek 45

Úkoly pověřence pro ochranu osobních údajů

1.   Pověřenec pro ochranu osobních údajů vykonává tyto úkoly:

a)

poskytovat informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie v oblasti ochrany údajů;

b)

nezávisle zajišťovat vnitřní uplatňování tohoto nařízení a monitorovat soulad s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy zaměstnanců zapojených do operací zpracování a souvisejících auditů;

c)

zajišťovat informovanost subjektů údajů o jejich právech a povinnostech vyplývajících z tohoto nařízení;

d)

poskytovat poradenství na požádání, pokud jde o nezbytnost ohlašování případů porušení zabezpečení osobních údajů podle článků 34 a 35;

e)

poskytovat poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho provádění podle článku 39 a konzultovat evropského inspektora ochrany údajů v případě pochybností o potřebě provést posouzení dopadu na ochranu údajů;

f)

poskytovat poradenství na požádání, pokud jde o potřebu předchozí konzultace s evropským inspektorem ochrany údajů podle článku 40 a konzultovat evropského inspektora ochrany údajů v případě pochybností o potřebě předchozí konzultace;

g)

odpovídat na žádosti evropského inspektora ochrany údajů a v oblasti své působnosti spolupracovat s evropským inspektorem ochrany údajů a konzultovat ho na jeho žádost nebo z vlastního podnětu.

h)

zajišťovat, aby při zpracování nedocházelo k poškozování práv a svobod subjektů údajů.

2.   Pověřenec pro ochranu osobních údajů může správci a zpracovateli vydávat doporučení o praktických zlepšeních a poskytovat jim poradenství o záležitostech týkajících se uplatňování ustanovení na ochranu údajů. Dále může z vlastního podnětu nebo na žádost správce nebo zpracovatele, příslušného výboru zaměstnanců nebo jakékoli fyzické osoby vyšetřovat otázky a skutečnosti, které přímo souvisejí s jeho úkoly a které mu byly oznámeny, a podat zprávu osobě, která o prošetření požádala, nebo správci nebo zpracovateli.

3.   Další prováděcí pravidla týkající se pověřence pro ochranu osobních údajů si přijímá každý orgán nebo subjekt Unie. Tato prováděcí pravidla se týkají zejména úkolů, povinností a pravomocí pověřence pro ochranu osobních údajů.

KAPITOLA V

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ NEBO MEZINÁRODNÍM ORGANIZACÍM

Článek 46

Obecná zásada pro předávání

K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.

Článek 47

Předávání založené na rozhodnutí o odpovídající ochraně

1.   Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo čl. 36 odst. 3 směrnice (EU) 2016/680, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany, a jestliže jsou osobní údaje předány pouze s cílem umožnit plnění úkolů v mezích pravomoci správce.

2.   Orgány a subjekty Unie informují Komisi a evropského inspektora ochrany údajů o případech, kdy se domnívají, že dotčená třetí země, dotčené území či konkrétní odvětví v určité třetí zemi nebo mezinárodní organizace nezajišťují odpovídající úroveň ochrany ve smyslu odstavce 1.

3.   Orgány a subjekty Unie přijmou nezbytná opatření, aby vyhověly rozhodnutím přijatým Komisí, která v souladu s čl. 45 odst. 3 nebo 5 nařízení (EU) 2016/679 nebo s čl. 36 odst. 3 nebo 5 směrnice (EU) 2016/680 stanoví, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje, nebo již nezajišťuje, odpovídající úroveň ochrany.

Článek 48

Předávání založené na vhodných zárukách

1.   Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo podle čl. 36 odst. 3 směrnice (EU) 2016/680, může správce nebo zpracovatel předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

2.   Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení evropského inspektora ochrany údajů, pomocí:

a)

právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

b)

standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 96 odst. 2;

c)

standardních doložek o ochraně údajů přijatých evropským inspektorem ochrany údajů a schválených Komisí přezkumným postupem podle čl. 96 odst. 2;

d)

pokud zpracovatel není orgánem či subjektem Unie, závazných podnikových pravidel, kodexů chování nebo mechanismů pro vydávání osvědčení podle čl. 46 odst. 2 písm. b), e) a f) nařízení (EU) 2016/679.

3.   S výhradou povolení od evropského inspektora ochrany údajů mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:

a)

smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci, nebo

b)

ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

4.   Povolení evropského inspektora ochrany údajů na základě čl. 9 odst. 7 nařízení (ES) č. 45/2001 zůstávají platná až do chvíle, kdy je evropský inspektor ochrany údajů v případě potřeby změní, nahradí nebo zruší.

5.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o kategoriích případů, v nichž se tento článek uplatnil.

Článek 49

Předávání či zpřístupňování údajů nepovolené právem Unie

Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií, aniž jsou dotčeny jiné důvody pro předání podle této kapitoly.

Článek 50

Výjimky pro specifické situace

1.   Jestliže neexistují rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 nebo podle čl. 36 odst. 3 směrnice (EU) 2016/680 ani vhodné záruky podle článku 48 tohoto nařízení, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:

a)

daný subjekt údajů byl informován o možných rizicích, která pro něj z neexistence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání udělil výslovný souhlas;

b)

předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro přijetí opatření na žádost subjektu údajů před uzavřením smlouvy;

c)

předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;

d)

předání je nezbytné z důležitých důvodů veřejného zájmu;

e)

předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;

f)

předání je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, nebo

g)

k předání dochází z rejstříku, který je na základě práva Unie určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie.

2.   Ustanovení odst. 1 písm. a), b) a c) se nevztahují na činnosti prováděné orgány a subjekty Unie při výkonu jejich úředních pravomocí.

3.   Veřejný zájem uvedený v odst. 1 písm. d) musí být uznán právem Unie.

4.   Předmětem předání podle odst. 1 písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy, není-li to povoleno právem Unie. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.

5.   V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci.

6.   Orgány a subjekty Unie uvědomí evropského inspektora ochrany údajů o kategoriích případů, v nichž se tento článek uplatnil.

Článek 51

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu k třetím zemím a mezinárodním organizacím podnikne evropský inspektor ochrany údajů ve spolupráci s Komisí a Evropským sborem pro ochranu údajů vhodné kroky v zájmu:

a)

rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování právních předpisů na ochranu osobních údajů;

b)

poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to mimo jiné formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c)

zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)

podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

KAPITOLA VI

EVROPSKÝ INSPEKTOR OCHRANY ÚDAJŮ

Článek 52

Evropský inspektor ochrany údajů

1.   Zřizuje se evropský inspektor ochrany údajů.

2.   V oblasti zpracování osobních údajů evropský inspektor ochrany údajů zajišťuje, aby orgány a subjekty Unie dodržovaly základní práva a svobody fyzických osob, zejména jejich právo na ochranu údajů.

3.   Evropský inspektor ochrany údajů monitoruje uplatňování ustanovení tohoto nařízení a všech ostatních aktů Unie souvisejících s ochranou základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů orgánem či subjektem Unie, zajišťuje uplatňování těchto ustanovení a poskytuje orgánům a subjektům Unie a subjektům údajů poradenství ve všech otázkách, které se týkají zpracování osobních údajů. Za tímto účelem plní povinnosti stanovené v článku 57 a vykonává pravomoci stanovené v článku 58.

4.   Na dokumenty, které má evropský inspektor ochrany údajů k dispozici, se vztahuje nařízení (ES) č. 1049/2001. Evropský inspektor ochrany údajů přijímá s ohledem na tyto dokumenty podrobná prováděcí pravidla k nařízení (ES) č. 1049/2001.

Článek 53

Jmenování evropského inspektora ochrany údajů

1.   Evropský parlament a Rada vzájemnou dohodou jmenují evropského inspektora ochrany údajů na dobu pěti let ze seznamu sestaveného Komisí po veřejné výzvě k přihlášení uchazečů. Tato výzva musí umožnit všem zájemcům v Unii, aby podali svou přihlášku. Seznam uchazečů sestavený Komisí je veřejný a skládá se nejméně ze tří uchazečů. Na základě seznamu vypracovaného Komisí může příslušný výbor Evropského parlamentu uspořádat slyšení, aby mohl vyjádřit některému uchazeči svou přednostní podporu.

2.   Na seznam uchazečů uvedených v odstavci 1 se zapisují osoby, o jejichž nezávislosti není pochybnost a jež prokázaly odborné znalosti v oblasti ochrany údajů i zkušenosti a dovednosti potřebné k výkonu povinností evropského inspektora ochrany údajů.

3.   Evropského inspektora ochrany údajů lze jmenovat na jedno další funkční období.

4.   Evropský inspektor ochrany údajů pozbývá funkce za těchto okolností:

a)

je-li nahrazen;

b)

odstoupí-li;

c)

je-li odvolán z funkce nebo povinně odejde do důchodu.

5.   Evropského inspektora ochrany údajů může z funkce odvolat nebo zbavit nároku na důchod nebo jej nahrazující požitky Soudní dvůr na žádost Evropského parlamentu, Rady nebo Komise, nesplňuje-li nadále podmínky nezbytné k výkonu svých povinností nebo porušil-li závažným způsobem své povinnosti.

6.   V případě pravidelné obměny nebo dobrovolného odstoupení zůstává evropský inspektor ochrany údajů ve funkci, dokud není nahrazen.

7.   Na evropského inspektora ochrany údajů se vztahují články 11 až 14 a 17 Protokolu o výsadách a imunitách Evropské unie.

Článek 54

Úprava a obecné podmínky výkonu funkce evropského inspektora ochrany údajů, lidské a finanční zdroje

1.   Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, považuje se evropský inspektor ochrany údajů za rovnocenného soudci Soudního dvora.

2.   Rozpočtový orgán zajistí, aby měl evropský inspektor ochrany údajů k dispozici lidské a finanční zdroje nutné pro výkon svých úkolů.

3.   Rozpočet evropského inspektora ochrany údajů je veden v samostatném rozpočtovém okruhu v oddíle souhrnného rozpočtu Unie týkajícím se správních výdajů.

4.   Evropskému inspektorovi ochrany údajů je nápomocen sekretariát. Úředníky a ostatní zaměstnance sekretariátu jmenuje a řídí evropský inspektor ochrany údajů. Tyto osoby podléhají výlučně jeho pokynům. O jejich počtu se rozhoduje každý rok v rozpočtovém procesu. Na zaměstnance evropského inspektora ochrany údajů, kteří vykonávají úkoly svěřené právem Unie Evropskému sboru pro ochranu osobních údajů, se vztahuje čl. 75 odst. 2 nařízení (EU) 2016/679.

5.   Na úředníky a ostatní zaměstnance sekretariátu evropského inspektora ochrany údajů se vztahují pravidla a nařízení platná pro úředníky a ostatní zaměstnance Unie.

6.   Sídlem evropského inspektora ochrany údajů je Brusel.

Článek 55

Nezávislost

1.   Evropský inspektor ochrany údajů jedná při plnění svých úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.

2.   Evropský inspektor ochrany údajů musí při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení zůstávat nezávislý na vnějším vlivu, přímém či nepřímém, a od nikoho nesmí vyžadovat ani přijímat pokyny.

3.   Evropský inspektor ochrany údajů se zdrží jakéhokoliv jednání neslučitelného se svou funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost.

4.   Po skončení svého funkčního období je evropský inspektor ochrany údajů povinen při přijímání určitých funkcí a výhod jednat čestně a uvážlivě.

Článek 56

Služební tajemství

Evropský inspektor ochrany údajů a jeho zaměstnanci jsou během svého funkčního období a po jeho skončení vázáni služebním tajemstvím v souvislosti se všemi důvěrnými informacemi, o nichž se dozvěděli během výkonu svých služebních povinností.

Článek 57

Úkoly

1.   Aniž jsou dotčeny další úkoly stanovené tímto nařízením, evropský inspektor ochrany údajů:

a)

monitoruje a vymáhá uplatňování tohoto nařízení orgány a subjekty Unie, s výjimkou zpracování osobních údajů Soudním dvorem, pokud jedná v rámci svých soudních pravomocí;

b)

zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)

podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

d)

na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s vnitrostátními dozorovými úřady;

e)

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 67, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

f)

provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

g)

z vlastního podnětu nebo na požádání poskytuje poradenství všem orgánům a subjektům Unie o legislativních a správních opatřeních týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováváním osobních údajů;

h)

monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií;

i)

přijímá standardní smluvní doložky uvedené v čl. 29 odst. 8 a čl. 48 odst. 2 písm. c);

j)

připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 39 odst. 4;

k)

účastní se činností Evropského sboru pro ochranu údajů;

l)

poskytuje služby sekretariátu pro Evropský sbor pro ochranu údajů v souladu s článkem 75 nařízení (EU) 2016/679;

m)

poskytuje poradenství o zpracování uvedeném v čl. 40 odst. 2;

n)

povoluje smluvní doložky a ustanovení uvedené v čl. 48 odst. 3;

o)

vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2;

p)

plní veškeré další úkoly související s ochranou osobních údajů a

q)

vypracuje svůj jednací řád.

2.   Evropský inspektor ochrany údajů usnadňuje podávání stížností uvedených v odst. 1 písm. e) poskytnutím formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3.   Plnění úkolů Evropského inspektora ochrany údajů je pro subjekt údajů bezplatné.

4.   Jsou-li žádosti zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může evropský inspektor ochrany údajů odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá evropský inspektor ochrany údajů.

Článek 58

Pravomoci

1.   Evropský inspektor ochrany údajů má tyto vyšetřovací pravomoci:

a)

nařídit správci a zpracovateli, aby mu poskytli veškeré informace, které potřebuje pro plnění svých úkolů;

b)

provádět vyšetřování formou auditů ochrany údajů;

c)

ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

d)

získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje pro plnění svých úkolů;

e)

získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s právem Unie.

2.   Evropský inspektor ochrany údajů má tyto nápravné pravomoci:

a)

upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení;

b)

udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

c)

předložit věci dotčenému správci nebo zpracovateli a v případě potřeby Evropskému parlamentu, Radě a Komisi;

d)

nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

e)

nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

f)

nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

g)

uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

h)

nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 18, 19 a 20 a oznamování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 19 odst. 2 a článku 21;

i)

uložit správní pokutu podle článku 66 v případě, že orgán nebo subjekt Unie nesplní jedno z opatření uvedených v písm. d) až h) a v písmenu j) tohoto odstavce v závislosti na okolnostech každého jednotlivého případu;

j)

nařídit přerušení toků údajů příjemci v členském státě, v třetí zemi nebo toků údajů mezinárodní organizaci.

3.   Evropský inspektor ochrany údajů má tyto povolovací a poradní pravomoci:

a)

poskytovat poradenství subjektům údajů při výkonu jejich práv;

b)

poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 40 a v souladu s čl. 41 odst. 2;

c)

z vlastního podnětu nebo na požádání vydávat stanoviska určená orgánům a subjektům Unie, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

d)

přijímat standardní doložky o ochraně údajů podle čl. 29 odst. 8 a čl. 48 odst. 2 písm. c);

e)

povolovat smluvní doložky podle čl. 48 odst. 3 písm. a);

f)

povolovat správní ujednání podle čl. 48 odst. 3 písm. b).

g)

povolovat operace zpracování na základě prováděcích aktů přijatých podle čl. 40 odst. 4.

4.   Evropský inspektor ochrany údajů má pravomoc předložit věc Soudnímu dvoru za podmínek stanovených ve Smlouvách a vstupovat jako vedlejší účastník do řízení před Soudním dvorem.

5.   Výkon pravomocí svěřených tímto článkem evropskému inspektorovi ochrany údajů podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie.

Článek 59

Povinnost správců a zpracovatelů odpovědět na vyjádření

Jestliže evropský inspektor ochrany údajů vykonává pravomoci stanovené v čl. 58 odst. 2 písm. a), b) a c), informuje dotčený správce nebo zpracovatel evropského inspektora ochrany údajů o svém stanovisku v přiměřené lhůtě, kterou po zohlednění okolností jednotlivé věci určí evropský inspektor ochrany údajů. Stanovisko obsahuje rovněž popis případných opatření přijatých v reakci na připomínky evropského inspektora ochrany údajů.

Článek 60

Zprávy o činnosti

1.   Evropský inspektor ochrany údajů předkládá výroční zprávu o své činnosti Evropskému parlamentu, Radě a Komisi a zároveň ji zveřejňuje.

2.   Evropský inspektor ochrany údajů předá zprávu uvedenou v odstavci 1 ostatním orgánům a subjektům Unie, které mohou předložit připomínky k případnému přezkumu zprávy Evropským parlamentem.

KAPITOLA VII

SPOLUPRÁCE A JEDNOTNOST

Článek 61

Spolupráce mezi evropským inspektorem ochrany údajů a vnitrostátními dozorovými úřady

Evropský inspektor ochrany údajů spolupracuje s vnitrostátními dozorovými úřady a se společným kontrolním orgánem zřízeným podle článku 25 rozhodnutí Rady 2009/917/SVV (19) v rozsahu nezbytném pro plnění jejich příslušných úkolů, zejména tak, že si navzájem poskytují relevantní informace, žádají se navzájem o výkon svých pravomocí a reagují na vzájemné žádosti.

Článek 62

Koordinovaný dozor evropského inspektora ochrany údajů a vnitrostátních dozorových úřadů

1.   Pokud akt Unie odkazuje na tento článek, spolupracují evropský inspektor ochrany údajů a vnitrostátní dozorové úřady v mezích svých pravomocí aktivně v rámci plnění svých úkolů na zajištění účinného dozoru nad velkými informačními systémy a nad institucemi a jinými subjekty Unie.

2.   Evropský inspektor ochrany údajů a vnitrostátní dozorové úřady si v rámci svých příslušných pravomocí a svých úkolů podle potřeby navzájem vyměňují relevantní informace, pomáhají si vzájemně při provádění auditů a inspekcí, přezkoumávají potíže s výkladem nebo uplatňováním tohoto nařízení a jiných použitelných aktů Unie, zkoumají potíže s výkonem nezávislého dozoru nebo s výkonem práv subjektů údajů, vypracovávají harmonizované návrhy řešení problémů a zvyšují informovanost o právech na ochranu údajů.

3.   Pro účely uvedené v odstavci 2 se evropský inspektor ochrany údajů schází s vnitrostátními dozorovými úřady nejméně dvakrát ročně v Evropském sboru pro ochranu údajů. Za tímto účelem může Evropský sbor pro ochranu údajů podle potřeby vypracovat další pracovní metody.

4.   Jednou za dva roky zašle Evropský sbor pro ochranu údajů Evropskému parlamentu, Radě a Komisi společnou zprávu o koordinovaných činnostech dozoru.

KAPITOLA VIII

PRÁVNÍ OCHRANA, ODPOVĚDNOST A SANKCE

Článek 63

Právo podat stížnost u evropského inspektora ochrany údajů

1.   Aniž jsou dotčeny jakékoli prostředky soudní, správní nebo mimosoudní ochrany, má každý subjekt údajů právo podat stížnost u evropského inspektora ochrany údajů, pokud se domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.

2.   Evropský inspektor ochrany údajů informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 64.

3.   Pokud se evropský inspektor ochrany údajů stížností nezabývá nebo neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti, má se za to, že evropský inspektor ochrany údajů stížnost zamítl.

Článek 64

Právo na účinnou soudní ochranu

1.   Soudní dvůr má soudní pravomoc pro řešení všech sporů, které se týkají tohoto nařízení, včetně žalob o náhradu škody.

2.   Proti rozhodnutím evropského inspektora ochrany údajů, včetně rozhodnutí podle čl. 63 odst. 3, lze podat žalobu k Soudnímu dvoru.

3.   Soudní dvůr má neomezenou pravomoc přezkoumávat správní pokuty uvedené v článku 66. Tyto pokuty může v mezích stanovených v článku 66 zrušit, snížit nebo zvýšit.

Článek 65

Právo na náhradu újmy

Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od orgánu nebo subjektu Unie náhradu utrpěné újmy za podmínek stanovených ve Smlouvách.

Článek 66

Správní pokuty

1.   Jestliže orgán nebo subjekt Unie nesplní příkaz evropského inspektora ochrany údajů podle čl. 58 odst. 2 písm. d) až h) a j), může mu evropský inspektor ochrany údajů uložit správní pokutu podle okolností každého jednotlivého případu. Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech řádně zohlední tyto okolnosti:

a)

povahu, závažnost a délku trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)

kroky podniknuté orgánem nebo subjektem Unie ke zmírnění škod způsobených subjektům údajů;

c)

míru odpovědnosti orgánu nebo subjektu Unie s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 27 a 33;

d)

veškerá podobná předchozí porušení orgánem nebo subjektem Unie;

e)

míru spolupráce s evropským inspektorem ochrany údajů za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

f)

kategorie osobních údajů dotčené daným porušením;

g)

způsob, jakým se evropský inspektor ochrany údajů dozvěděl o porušení, zejména zda orgán nebo subjekt Unie porušení oznámil, a pokud ano, v jaké míře;

h)

splnění případných opatření uvedených v článku 58, jež byla vůči danému orgánu nebo subjektu Unie v souvislosti s týmž předmětem dříve nařízena. Řízení o uložení těchto pokut proběhnou v přiměřeném časovém rámci v závislosti na okolnostech věci a s přihlédnutím k příslušným úkonům a řízením uvedeným v článku 69.

2.   Za porušení povinností orgánu nebo subjektu Unie podle článků 8, 12, 27 až 35, 39, 40, 43, 44 a 45 se uloží v souladu s odstavcem 1 tohoto článku správní pokuty až do výše 25 000 EUR za jednotlivé porušení a 250 000 EUR celkem za rok.

3.   Za porušení následujících ustanovení orgánem nebo subjektem Unie se uloží v souladu s odstavcem 1 správní pokuty až do výše 50 000 EUR za jednotlivé porušení a 500 000 EUR celkem za rok:

a)

základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 4, 5, 7 a 10;

b)

práva subjektů údajů podle článků 14 až 24;

c)

předávání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 46 až 50.

4.   Pokud orgán nebo subjekt Unie u stejných nebo souvisejících nebo trvajících operací zpracování poruší více ustanovení tohoto nařízení nebo několikrát stejné ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

5.   Před přijetím rozhodnutí podle tohoto článku poskytne evropský inspektor ochrany údajů orgánu nebo subjektu Unie, se kterým vede řízení, příležitost vyjádřit své stanovisko k záležitostem, ke kterým vznesl námitky. Evropský inspektor ochrany údajů zakládá své rozhodnutí pouze na námitkách, ke kterým se dotčené osoby mohly vyjádřit. Stěžovatelé jsou do řízení úzce zapojeni.

6.   Při řízení musí být plně dodržováno právo dotyčných stran na obhajobu. Musí mít přístup do spisu evropského inspektora ochrany údajů, s výhradou oprávněného zájmu jednotlivců nebo podniků na ochraně jejich osobních údajů nebo obchodního tajemství.

7.   Prostředky vybrané ukládáním pokut podle tohoto článku jsou příjmem souhrnného rozpočtu Unie.

Článek 67

Zastupování subjektů údajů

Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem Unie nebo právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany práv a svobod subjektů údajů, aby v souvislosti s ochranou jeho osobních údajů jeho jménem podaly stížnost u evropského inspektora ochrany údajů, uplatnily práva uvedená v článcích 63 a 64 a uplatnily právo na náhradu újmy podle článku 65.

Článek 68

Stížnosti zaměstnanců Unie

Jakákoliv osoba zaměstnaná v orgánu nebo subjektu Unie může podat stížnost u evropského inspektora ochrany údajů týkající se údajného porušení ustanovení tohoto nařízení, a to i neúřední cestou. Nikomu nesmí být na újmu, že podal evropskému inspektorovi ochrany údajů stížnost na údajné porušení ochrany údajů.

Článek 69

Sankce

Pokud úředník nebo jiný zaměstnanec Unie poruší povinnosti stanovené tímto nařízením, ať úmyslně, nebo z nedbalosti, podléhá disciplinárním nebo jiným úkonům v souladu s pravidly a postupy stanovenými ve služebním řádu.

KAPITOLA IX

ZPRACOVÁNÍ OPERATIVNÍCH OSOBNÍCH ÚDAJŮ INSTITUCEMI A JINÝMI SUBJEKTY UNIE PŘI VÝKONU ČINNOSTÍ, KTERÉ SPADAJÍ DO OBLASTI PŮSOBNOSTI ČÁSTI TŘETÍ HLAVY V KAPITOLY 4 NEBO 5 SMLOUVY O FUNGOVÁNÍ EU

Článek 70

Oblast působnosti kapitoly

Tato kapitola se vztahuje pouze na zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, aniž jsou dotčeny zvláštní předpisy pro ochranu údajů vztahující se na takovou instituci či jiný subjekt Unie.

Článek 71

Zásady zpracování operativních osobních údajů

1.   Operativní osobní údaje musí být:

a)

zpracovávány zákonným způsobem a korektně („zákonnost a korektnost“),

b)

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“);

c)

přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)

přesné a v případě potřeby průběžně aktualizované; musí být přijata veškerá rozumná opatření, aby operativní osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

e)

uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou operativní osobní údaje zpracovávány („omezení uložení“);

f)

zpracovávány způsobem, který zajistí náležité zabezpečení operativních osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).

2.   Zpracování stejným nebo jiným správcem pro kterýkoli účel uvedený v právním aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, odlišný od účelu, pro nějž byly operativní osobní údaje shromážděny, je přípustné:

a)

pokud je správce v souladu s právem Unie oprávněn zpracovávat takové operativní osobní údaje pro takový účel a

b)

pokud je v souladu s právem Unie zpracování pro tento jiný účel nezbytné a přiměřené.

3.   Zpracování stejným nebo jiným správcem může zahrnovat archivaci ve veřejném zájmu či vědecké, statistické či historické použití pro účely uvedené v právním aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, pod podmínkou vhodných záruk práv a svobod subjektů údajů.

4.   Správce odpovídá za dodržení odstavců 1, 2 a 3 a musí být schopen toto dodržení doložit.

Článek 72

Zákonnost zpracování operativních osobních údajů

1.   Zpracování operativních osobních údajů je zákonné pouze tehdy a do té míry, pokud je nezbytné ke splnění úkolů prováděných institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, a pokud má základ v právu Unie.

2.   Zvláštní právní akty Unie upravující zpracování v oblasti působnosti této kapitoly určí přinejmenším cíle zpracování, operativní osobní údaje, jež mají být zpracovány, účel zpracování a lhůty pro jejich uložení nebo pro pravidelný přezkum nutnosti prodloužení doby jejich uložení.

Článek 73

Rozlišování mezi odlišnými kategoriemi subjektů údajů

Správce v příslušných případech, a pokud je to možné, jasně rozlišuje mezi operativními osobními údaji různých kategorií subjektů údajů, jako jsou kategorie uvedené v právních aktech, jimiž se zřizují instituce a jiné subjekty Unie.

Článek 74

Rozlišování mezi operativními osobními údaji a ověřování jejich kvality

1.   Správce pokud možno rozlišuje operativní osobní údaje založené na skutečnostech a operativní osobní údaje založené na osobních hodnoceních.

2.   Správce učiní veškerá rozumná opatření s cílem zajistit, aby nebyly předávány ani zpřístupňovány operativní osobní údaje, které jsou nepřesné či neúplné nebo již nejsou aktuální. Za tímto účelem správce v příslušném případě ověří, je-li to proveditelné, kvalitu operativních osobních údajů před jejich předáním nebo zpřístupněním, například prostřednictvím konzultace s příslušným orgánem, od něhož údaje pocházejí. Při každém předání operativních osobních údajů k nim správce pokud možno doplní nezbytné informace, jež umožní příjemci zhodnotit míru jejich přesnosti, úplnosti, spolehlivosti a aktuálnosti.

3.   Zjistí-li se, že došlo k předání nesprávných operativních osobních údajů nebo že operativní osobní údaje byly předány protiprávně, musí o tom být příjemce neprodleně vyrozuměn. V takovém případě musí být dotčené operativní osobní údaje opraveny nebo vymazány nebo být omezeno jejich zpracování v souladu s článkem 82.

Článek 75

Zvláštní podmínky pro zpracování

1.   Jestliže právo Unie použitelné na předávajícího správce stanoví zvláštní podmínky pro zpracování údajů, informuje správce příjemce takových osobních údajů o těchto podmínkách a o nutnosti je dodržovat.

2.   Správce dodržuje zvláštní podmínky pro zpracování údajů stanovené předávajícím příslušným orgánem v souladu s čl. 9 odst. 3 a 4 směrnice (EU) 2016/680.

Článek 76

Zpracování zvláštních kategorií operativních osobních údajů

1.   Zpracování operativních osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, a zpracovaní genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, operativních osobních údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby je povoleno pouze tehdy, pokud je to zcela nezbytné pro operativní účely, spadá to do pravomoci dotčené instituce nebo jiného subjektu Unie a existují vhodné záruky práv a svobod subjektu údajů. Diskriminace fyzických osob na základě těchto osobních údajů je zakázána.

2.   O použití tohoto článku musí být neprodleně informován pověřenec pro ochranu osobních údajů.

Článek 77

Automatizované individuální rozhodování, včetně profilování

1.   Rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie, které se na správce vztahuje a které poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.

2.   Rozhodnutí uvedená v odstavci 1 tohoto článku se nesmějí opírat o zvláštní kategorie osobních údajů uvedené v článku 76, pokud nejsou zavedena vhodná opatření s cílem zaručit práva, svobody a oprávněné zájmy subjektu údajů.

3.   Profilování, které vede k diskriminaci fyzických osob na základě zvláštních kategorií osobních údajů uvedených v článku 76, je v souladu s právem Unie zakázáno.

Článek 78

Sdělení a postupy pro výkon práv subjektu údajů

1.   Správce podnikne všechny přiměřené kroky k tomu, aby subjektu údajů poskytl stručným, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článku 79 a učinil veškerá sdělení s ohledem na články 80 až 84 a 92 o zpracování. Informace jsou poskytovány jakýmikoliv vhodnými prostředky, a to i v elektronické formě. Obecně platí, že správce poskytne informace ve stejné podobě jako žádost.

2.   Správce usnadňuje výkon práv subjektu údajů podle článků 79 až 84.

3.   Správce písemně bez zbytečného odkladu, a v každém případě do tří měsíců od obdržení žádosti subjektu údajů, informuje subjekt údajů o tom, jaké kroky se podnikají v návaznosti na jeho žádost.

4.   Správce poskytuje informace podle článku 79 a činí veškerá sdělení a veškeré úkony podle článků 80 až 84 a 92 bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

5.   Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článku 80 nebo 82, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

Článek 79

Informace poskytované subjektu údajů

1.   Správce poskytne subjektu údajů alespoň tyto informace:

a)

údaje o totožnosti a kontaktní údaje instituce nebo jiného subjektu Unie;

b)

kontaktní údaje pověřence pro ochranu osobních údajů;

c)

informace o účelech zpracování, pro které jsou operativní osobní údaje určeny;

d)

informace o existenci práva podat stížnost u evropského inspektora ochrany údajů a jeho kontaktní údaje;

e)

informace o existenci práva požadovat od správce přístup k operativním osobním údajům, jejich opravu či výmaz nebo omezení zpracování operativních údajů týkajících se subjektu údajů.

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů ve zvláštních případech vymezených právem Unie tyto další informace s cílem umožnit výkon jeho práv:

a)

právní základ zpracování;

b)

dobu, po kterou budou operativní osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

c)

případné kategorie příjemců daných operativních osobních údajů, včetně příjemců ve třetích zemích nebo v mezinárodních organizacích;

d)

v případě potřeby doplňující informace, zejména jsou-li operativní osobní údaje sebrány bez vědomí subjektu údajů.

3.   Správce může poskytnutí informací subjektu údajů podle odstavce 2 odložit, omezit či od něho upustit v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

Článek 80

Právo subjektu údajů na přístup k informacím

Subjekt údajů má právo získat od správce potvrzení, zda operativní osobní údaje, které se ho týkají, jsou, či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k operativním osobním údajům a k následujícím informacím:

a)

účely a právní základ zpracování;

b)

kategorie dotčených operativních osobních údajů;

c)

příjemci nebo kategorie příjemců, kterým byly operativní osobní údaje zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)

pokud možno předpokládaná doba, po kterou budou operativní osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)

existence práva požadovat od správce opravu nebo výmaz operativních osobních údajů nebo omezení zpracování operativních osobních údajů týkajících se subjektu údajů;

f)

existence práva podat stížnost u evropského inspektora ochrany údajů a jeho kontaktní údaje;

g)

sdělení operativních osobních údajů, které jsou předmětem zpracování, a veškerých dostupných informacích o jejich původu.

Článek 81

Omezení práva na přístup

1.   Správce může právo subjektu údajů na přístup k informacím úplně nebo částečně omezit v takovém rozsahu a na takovou dobu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

2.   V případech uvedených v odstavci 1 správce bez zbytečného odkladu písemně informuje subjekt údajů o jakémkoli odmítnutí nebo omezení přístupu a o důvodech tohoto odmítnutí nebo omezení. Tyto informace není třeba uvádět, pokud by jejich poskytnutí ohrožovalo některý z účelů podle odstavce 1. Správce informuje subjekt údajů o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora. Správce zdokumentuje věcné či právní důvody, na nichž se rozhodnutí zakládá. Tyto informace se na požádání zpřístupní evropskému inspektorovi ochrany údajů.

Článek 82

Právo na opravu nebo výmaz operativních osobních údajů a omezení jejich zpracování

1.   Každý subjekt údajů má právo požadovat po správci opravu nepřesných operativních osobních údajů, které se ho týkají, a to bez zbytečného odkladu. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných operativních osobních údajů, a to i poskytnutím dodatečného prohlášení.

2.   Správce vymaže operativní osobní údaje bez zbytečného odkladu a subjekt údajů má právo požadovat po správci, aby bez zbytečného odkladu vymazal operativní osobní údaje, které se ho týkají, jestliže zpracování porušuje článek 71, čl. 72 odst. 1 nebo článek 76 nebo jestliže operativní osobní údaje musí být vymazány ke splnění právní povinnosti správce.

3.   Namísto výmazu osobních údajů správce omezí zpracování:

a)

zpochybňuje-li subjekt údajů přesnost osobních údajů a nelze-li ji ověřit, nebo

b)

musí-li být dané osobní údaje uchovány pro účely dokazování.

Pokud je zpracování omezeno ve smyslu prvního pododstavce písm. a), informuje správce subjekt údajů před zrušením omezení zpracování.

Údaje podléhající omezení lze zpracovat pouze za účelem, který zabránil jejich výmazu.

4.   Správce informuje subjekt údajů písemně o jakémkoli odmítnutí opravy či výmazu operativních osobních údajů nebo omezení zpracování a o důvodech tohoto odmítnutí. Správce může poskytnutí těchto informací úplně nebo částečně omezit v takovém rozsahu, jak je to v demokratické společnosti s náležitým přihlédnutím k základním právům a oprávněným zájmům dotčené fyzické osoby nutné a přiměřené, s cílem:

a)

zabránit maření úředních nebo právních šetření, vyšetřování nebo postupů;

b)

zabránit nepříznivému ovlivňování prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;

c)

chránit veřejnou bezpečnost členských států;

d)

chránit národní bezpečnost členských států;

e)

chránit práva a svobody druhých, například obětí a svědků.

Správce informuje subjekty údajů o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora.

5.   Správce uvědomí o opravě nepřesných operativních osobních údajů příslušný orgán, od něhož tyto nepřesné operativní osobní údaje pocházejí.

6.   V případech, kdy byly operativní osobní údaje opraveny nebo vymazány nebo zpracování bylo omezeno podle odstavců 1, 2 nebo 3, správce vyrozumí příjemce a informuje je, že musí opravit či vymazat operativní osobní údaje, za které odpovídají, nebo omezit jejich zpracování.

Článek 83

Právo na přístup při trestním vyšetřování a řízení

Jestliže operativní osobní údaje pocházejí od příslušného orgánu, ověří instituce a jiné subjekty Unie před přijetím rozhodnutí o právu subjektu údajů na přístup k osobním údajům u dotyčného příslušného orgánu, zda jsou tyto osobní údaje obsaženy v soudním rozhodnutí nebo v záznamu nebo ve spisu zpracovaném v průběhu trestního vyšetřování a řízení v členském státě tohoto příslušného orgánu. Je-li tomu tak, musí být rozhodnutí o právu na přístup k osobním údajům přijato za konzultace a v úzké spolupráci s dotyčným příslušným orgánem.

Článek 84

Výkon práv subjektem údajů a ověřování prováděné evropským inspektorem ochrany údajů

1.   V případech uvedených v čl. 79 odst. 3, článku 81 a čl. 82 odst. 4 může práva subjektu údajů vykonávat rovněž evropský inspektor ochrany údajů.

2.   Správce informuje subjekt údajů o možnosti vykonávat svá práva prostřednictvím evropského inspektora ochrany údajů podle odstavce 1.

3.   V případě výkonu práva podle odstavce 1 informuje evropský inspektor ochrany údajů subjekt údajů přinejmenším o tom, že provedl veškerá nezbytná ověření nebo přezkum. Evropský inspektor ochrany údajů rovněž subjekt údajů informuje o jeho právu žádat o soudní ochranu u Soudního dvora.

Článek 85

Záměrná a standardní ochrana údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je účinným způsobem provádět zásady ochrany údajů, jako je minimalizace údajů, a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky tohoto nařízení a právního aktu, kterým se správce zřizuje, a rovněž ochránil práva subjektů údajů.

2.   Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze operativní osobní údaje, jež jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Tato povinnost se týká množství shromážděných operativních osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby operativní osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Článek 86

Společní správci

1.   Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, anebo dva nebo více správců společně s jedním nebo více správci jinými než orgány a subjekty Unie, jsou společnými správci. Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění svých povinností týkajících se ochrany údajů, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článku 79, pokud tuto odpovědnost společných správců nestanoví právo Unie nebo členského státu, které se na společné správce vztahuje. V ujednání může být určeno kontaktní místo pro subjekty údajů.

2.   Ujednání uvedené v odstavci 1 náležitě zohlední úlohy společných správců a jejich vztahy vůči subjektu údajů. Subjekt údajů musí být o podstatných prvcích ujednání informován.

3.   Bez ohledu na podmínky ujednání uvedeného v odstavci 1 může subjekt údajů vykonávat svá práva podle tohoto nařízení ohledně každého ze správců i vůči každému z nich.

Článek 87

Zpracovatel

1.   Pokud má být zpracování provedeno za správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a právního aktu, kterým se správce zřizuje, a aby byla zajištěna ochrana práv subjektu údajů.

2.   Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3.   Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo práva členského státu, jenž zavazuje zpracovatele vůči správci a v němž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ operativních osobních údajů a kategorie subjektů údajů a povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

a)

jedná pouze podle pokynů správce;

b)

zajistí, aby se osoby oprávněné zpracovávat operativní osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)

pomáhá správci jakýmikoli vhodnými prostředky zajistit dodržování předpisů o právech subjektu údajů;

d)

podle rozhodnutí správce po ukončení poskytování služeb zpracování vymaže nebo vrátí všechny operativní osobní údaje správci a vymaže existující kopie, pokud právo Unie nebo právo členského státu nevyžadují uložení daných operativních osobních údajů;

e)

poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku;

f)

dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavci 2 a v tomto odstavci.

4.   Smlouva nebo jiný právní akt uvedený v odstavci 3 musí být vyhotoveny písemně, a to i v elektronické formě.

5.   Pokud zpracovatel poruší toto nařízení nebo právní akt, kterým se správce zřizuje, tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 88

Vedení logů

1.   Správce vede logy o veškerých těchto operacích zpracování v automatizovaných systémech zpracování: shromáždění, pozměnění, zpřístupnění, sdělení, včetně předání, zkombinování a výmaz operativních osobních údajů a nahlédnutí do nich. Logy o nahlédnutí a zpřístupnění musí umožňovat zjištění důvodů těchto operací, datum a čas, kdy byly učiněny, a totožnosti osoby, která do operativních osobních údajů nahlédla nebo která je zpřístupnila, a pokud možno totožnosti příjemců těchto operativních osobních údajů.

2.   Logy se používají pouze pro ověření zákonnosti zpracování, vlastní kontrolu, pro zajištění neporušenosti a zabezpečení operativních osobních údajů a pro trestní řízení. Pokud nejsou tyto logy vyžadovány pro probíhající kontrolu, vymaží se po uplynutí tří let.

3.   Správce na požádání poskytne tyto logy k nahlédnutí svému pověřenci pro ochranu osobních údajů a evropskému inspektorovi ochrany údajů.

Článek 89

Posouzení vlivu na ochranu údajů

1.   Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu operativních osobních údajů.

2.   Posouzení uvedené v odstavci 1 obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany operativních osobních údajů a k doložení souladu s pravidly pro ochranu údajů, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Článek 90

Předchozí konzultace evropského inspektora ochrany údajů

1.   Správce konzultuje s evropským inspektorem ochrany údajů před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a)

z posouzení vlivu na ochranu osobních údajů podle článku 89 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, nebo

b)

druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

2.   Evropský inspektor ochrany údajů může sestavit seznam operací zpracování, které podléhají předchozí konzultaci podle odstavce 1.

3.   Správce poskytne evropskému inspektorovi ochrany údajů posouzení vlivu na ochranu osobních údajů podle článku 89 a na požádání mu poskytne jakékoli další informace, jež evropskému inspektorovi ochrany údajů umožní posoudit soulad zpracování s tímto nařízením, a zejména posoudit rizika z hlediska ochrany operativních osobních údajů subjektu údajů a související záruky.

4.   V případě, že se evropský inspektor ochrany údajů domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení nebo právní akt, kterým se daná instituce nebo jiný subjekt Unie zřizuje, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní ho na to písemně ve lhůtě nejvýše šesti týdnů od obdržení žádosti o konzultaci. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o jeden měsíc. Evropský inspektor ochrany údajů informuje správce o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci.

Článek 91

Zabezpečení zpracování operativních osobních údajů

1.   S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií operativních osobních údajů.

2.   Pokud jde o automatizované zpracování údajů, zavedou správce a zpracovatel po zhodnocení rizik opatření s cílem:

a)

zabránit neoprávněným osobám v přístupu k zařízení využívanému pro zpracování („kontrola přístupu k zařízením“);

b)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo odstraňování nosičů údajů („kontrola nosičů údajů“);

c)

zabránit neoprávněnému vkládání operativních osobních údajů a neoprávněnému prohlížení, pozměňování nebo mazání uložených operativních osobních údajů („kontrola uložení“);

d)

zabránit neoprávněným osobám v užívání automatizovaných systémů pro zpracování pomocí zařízení pro přenos údajů („kontrola uživatelů“);

e)

zajistit, aby osoby oprávněné k využívání určitého automatizovaného systému zpracování měly přístup pouze k operativním osobním údajům, na které se vztahuje jejich povolení k přístupu („kontrola přístupu k údajům“);

f)

zajistit, aby bylo možné ověřit a zjistit, kterým subjektům byly nebo mohou být operativní osobní údaje předány nebo zpřístupněny při přenosu údajů („kontrola přenosu“);

g)

zajistit, aby bylo možné zpětně ověřit a zjistit, které operativní osobní údaje byly vloženy do automatizovaných systémů zpracování údajů a kdo a kdy tyto operativní osobní údaje vložil („kontrola vkládání“);

h)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo mazání operativních osobních údajů při předávání operativních osobních údajů nebo při přepravě nosičů dat („kontrola přepravy“),

i)

zajistit, aby instalované systémy mohly být v případě výpadku obnoveny („obnova“);

j)

zajistit, aby systém fungoval, aby byl hlášen výskyt chyb ve funkcích („spolehlivost“) a aby uložené operativní osobní údaje nebylo možné poškodit špatným fungováním systému („neporušenost“).

Článek 92

Ohlašování případů porušení zabezpečení osobních údajů evropskému inspektorovi ochrany údajů

1.   Jakékoli porušení zabezpečení osobních údajů správce ohlásí evropskému inspektorovi ochrany údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení evropskému inspektorovi ochrany údajů učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2.   Ohlášení uvedené v odstavci 1 musí přinejmenším obsahovat:

a)

popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů operativních osobních údajů;

b)

jméno a kontaktní údaje pověřence pro ochranu osobních údajů;

c)

popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)

popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

3.   Není-li možné poskytnout informace uvedené v odstavci 2 současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

4.   Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů uvedené v odstavci 1, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí evropskému inspektorovi ochrany údajů umožnit ověření souladu s tímto článkem.

5.   V případě, že se porušení zabezpečení osobních údajů týká operativních osobních údajů, které byly předány příslušnými orgány nebo příslušným orgánům, sdělí správce informace uvedené v odstavci 2 bez zbytečného odkladu dotčeným příslušným orgánům.

Článek 93

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1.   Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2.   V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a doporučení uvedené v čl. 92 odst. 2 písm. b), c) a d).

3.   Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)

správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u operativních osobních údajů dotčených porušením zabezpečení operativních osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim přistupovat, jako je například šifrování;

b)

správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů uvedené v odstavci 1 se již pravděpodobně neprojeví;

c)

oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4.   Jestliže správce dotčenému subjektu údajů ještě neoznámil porušení zabezpečení osobních údajů, může evropský inspektor ochrany údajů po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

5.   Oznámení subjektu údajů podle odstavce 1 tohoto článku lze odložit, omezit či lze od něho upustit za podmínek uvedených v čl. 79 odst. 3 a z důvodů v něm stanovených.

Článek 94

Předávání operativních osobních údajů do třetích zemí a mezinárodním organizacím

1.   S výhradou omezení a podmínek stanovených v právních aktech, jimiž se zřizuje instituce nebo jiný subjekt Unie, může správce předat operativní osobní údaje orgánu třetí země nebo mezinárodní organizaci, je-li toto předání nezbytné pro výkon úkolů a pouze jsou-li splněny podmínky stanovené v tomto článku, totiž:

a)

Komise přijala rozhodnutí o odpovídající ochraně v souladu s čl. 36 odst. 3 směrnice (EU) 2016/680, kterým se shledává, že tato třetí země či určité území nebo zpracovávající útvar v této třetí zemi či dotyčná mezinárodní organizace zajišťuje odpovídající úroveň ochrany;

b)

jestliže neexistuje rozhodnutí Komise o odpovídající ochraně podle písmena a), byla uzavřena mezinárodní dohoda mezi Unií a danou třetí zemí či mezinárodní organizací podle článku 218 Smlouvy o fungování EU, která poskytuje dostatečné záruky ve vztahu k ochraně soukromí, základních práv a svobod fyzických osob;

c)

jestliže neexistuje rozhodnutí Komise o odpovídající ochraně podle písmena a) ani mezinárodní dohoda podle písmene b), byla ještě přede dnem použitelnosti příslušného právního aktu, jímž se zřizuje instituce nebo jiný subjekt Unie, uzavřena mezi touto institucí nebo jiným subjektem Unie a danou třetí zemí dohoda o spolupráci umožňující výměnu operativních osobních údajů.

2.   Právní akty, jimiž se zřizují instituce a jiné subjekty Unie, mohou zachovat nebo zavést konkrétnější ustanovení o podmínkách pro mezinárodní předávání operativních osobních údajů, zejména pro předávání s dostatečnými zárukami a odchylkami pro specifické situace.

3.   Správce na svých internetových stránkách zveřejní a průběžně aktualizuje seznam rozhodnutí o odpovídající ochraně uvedených v odst. 1 písm. a) a dohod, správních ujednání a dalších nástrojů souvisejících s předáváním operativních osobních údajů v souladu s odstavcem 1.

4.   Správce uchovává podrobné záznamy o všech předáních uskutečněných podle tohoto článku.

Článek 95

Důvěrnost soudních šetření a trestních řízení

Právní akty, jimiž se zřizují instituce nebo jiné subjekty Unie, jež vykonávají činnosti, které spadají do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, mohou ukládat evropskému inspektorovi ochrany údajů povinnost, aby při výkonu svých pravomocí dozoru bral maximální ohled na důvěrnost soudních šetření a trestních řízení v souladu s právem Unie nebo daného členského státu.

KAPITOLA X

PROVÁDĚCÍ AKTY

Článek 96

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor zřízený článkem 93 nařízení (EU) 2016/679. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

KAPITOLA XI

PŘEZKUM

Článek 97

Ustanovení o přezkumu

Komise předloží Evropskému parlamentu a Radě do 30. dubna 2022 a poté každých pět let zprávu o uplatňování tohoto nařízení, k níž případně připojí vhodné legislativní návrhy.

Článek 98

Přezkum právních aktů Unie

1.   Do 30. dubna 2022 Komise přezkoumá právní akty přijaté na základě Smluv a upravující zpracování operativních osobních údajů institucemi a jinými subjekty Unie při výkonu činností, které spadají do oblasti působnosti části třetí hlavy V kapitol 4 nebo 5 Smlouvy o fungování EU, za účelem:

a)

posouzení jejich souladu se směrnicí (EU) 2016/680 a s kapitolou IX tohoto nařízení;

b)

zjištění rozdílů, které mohou bránit výměně operativních osobních údajů mezi institucemi a jinými subjekty Unie při výkonu činností v těchto oblastech a příslušnými orgány, a

c)

zjištění rozdílů, které mohou vést k roztříštěnosti právní úpravy ochrany údajů v Unii.

2.   Aby byla zajištěna jednotná a důsledná ochrana fyzických osob v souvislosti se zpracováváním údajů, může Komise na základě přezkumu předložit vhodné legislativní návrhy, zejména s cílem dosáhnout toho, aby se kapitola IX tohoto nařízení vztahovala na Europol a Úřad evropského veřejného žalobce, v případě potřeby včetně úprav kapitoly IX tohoto nařízení.

KAPITOLA XII

ZÁVĚREČNÁ USTANOVENÍ

Článek 99

Zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES

Nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES se zrušují s účinkem ode dne 11. prosince 2018. Odkazy na zrušené nařízení a zrušené rozhodnutí se považují za odkazy na toto nařízení.

Článek 100

Přechodná opatření

1.   Tímto nařízením není dotčeno rozhodnutí Evropského parlamentu a Rady 2014/886/EU (20) a stávající funkční období evropského inspektora ochrany údajů a zástupce inspektora.

2.   Pokud jde o určování odměny, náhrad, starobního důchodu a všech dalších náhrad poskytovaných místo odměny, považuje se zástupce inspektora za rovnocenného tajemníkovi Soudního dvora.

3.   Ustanovení čl. 53 odst. 4, 5 a 7 a článků 55 a 56 tohoto nařízení se vztahují na stávajícího zástupce inspektora do konce jeho funkčního období.

4.   Zástupce inspektora napomáhá evropskému inspektorovi ochrany údajů s plněním všech jeho povinností a zastupuje ho, když je evropský inspektor ochrany údajů nepřítomen nebo nemůže plnit tyto povinnosti, až do konce stávajícího funkčního období zástupce inspektora.

Článek 101

Vstup v platnost a použitelnost

1.   Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.   Toto nařízení se však použije na zpracování osobních údajů Eurojustem ode dne 12. prosince 2019.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Ve Štrasburku dne 23. října 2018.

Za Evropský parlament

předseda

A. TAJANI

Za Radu

předseda

K. EDTSTADLER


(1)  Úř. věst. C 288, 31.8.2017, s. 107.

(2)  Postoj Evropského parlamentu ze dne 13. září 2018 (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 11. října 2018.

(3)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(4)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(5)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).

(6)  Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. L 95, 21.4.1993, s. 29).

(7)  Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci (Úř. věst. L 354, 31.12.2008, s. 70).

(8)  Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(9)  Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

(10)  Úř. věst. L 56, 4.3.1968, s. 1.

(11)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(12)  Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství (Úř. věst. L 87, 31.3.2009, s. 164).

(13)  Rozhodnutí Evropského parlamentu, Rady a Komise č. 1247/2002/ES ze dne 1. července 2002 o úpravě a obecných podmínkách výkonu funkce Evropského inspektora ochrany údajů (Úř. věst. L 183, 12.7.2002, s. 1).

(14)  Úř. věst. C 164, 24.5.2017, s. 2.

(15)  Nařízení Evropského parlamentu a Rady (EU) 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Úř. věst. L 135, 24.5.2016, s. 53).

(16)  Nařízení Rady (EU) 2017/1939 ze dne 12. října 2017, kterým se provádí posílená spolupráce za účelem zřízení Úřadu evropského veřejného žalobce (Úř. věst. L 283, 31.10.2017, s. 1).

(17)  Směrnice Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti norem a technických předpisů a předpisů pro služby informační společnosti (Úř. věst. L 241, 17.9.2015, s. 1).

(18)  Směrnice Komise 2008/63/ES ze dne 20. června 2008 o hospodářské soutěži na trhu s telekomunikačními koncovými zařízeními (Úř. věst. L 162, 21.6.2008, s. 20).

(19)  Rozhodnutí Rady 2009/917/SVV ze dne 30. listopadu 2009 o používání informačních technologií pro celní účely, (Úř. věst. L 323, 10.12.2009, s. 20).

(20)  Rozhodnutí Evropského parlamentu a Rady 2014/886/EU ze dne 4. prosince 2014 o jmenování evropského inspektora ochrany údajů a jeho zástupce (Úř. věst. L 351, 9.12.2014, s. 9).


© Evropská unie, https://eur-lex.europa.eu/ , 1998-2018
Zavřít
MENU