EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (1),
so zreteľom na stanovisko Výboru regiónov (2),
konajúc v súlade s riadnym legislatívnym postupom (3),
keďže:
(1)
Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.
(2)
V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov. Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.
(3)
Úlohou smernice Európskeho parlamentu a Rady 95/46/ES (4) je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovateľskými činnosťami a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.
(4)
Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces, a kultúrna, náboženská a jazyková rozmanitosť.
(5)
Hospodárska a sociálna integrácia, ktorá je dôsledkom fungovania vnútorného trhu, viedla k značnému nárastu cezhraničných tokov osobných údajov. Výmena osobných údajov medzi verejnými a súkromnými aktérmi, vrátane fyzických osôb, združení a podnikov, sa v rámci Únie zvýšila. Vnútroštátne orgány v členských štátoch sú na základe práva Únie povinné spolupracovať a vymieňať si osobné údaje, aby mohli vykonávať svoje povinnosti alebo plniť úlohy v mene orgánu iného členského štátu.
(6)
Rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Rozsah získavania a zdieľania a osobných údajov sa výrazne zväčšil. Technológia umožňuje súkromným spoločnostiam a orgánom verejnej moci pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby stále viac zverejňujú svoje osobné údaje, a to aj v globálnom meradle. Technológia transformovala hospodársky aj spoločenský život a mala by ďalej uľahčovať voľný tok osobných údajov v rámci Únie a prenos do tretích krajín a medzinárodným organizáciám a súčasne zaručiť vysokú úroveň ochrany osobných údajov.
(7)
Tento vývoj si vyžaduje silný a súdržnejší rámec ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu. Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi. Mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárske subjekty a orgány verejnej moci.
(8)
Ak sa v tomto nariadení stanovuje, že právo členského štátu má spresniť alebo obmedziť jeho pravidlá, členské štáty môžu, pokiaľ je to nevyhnutné pre súdržnosť a dosiahnutie lepšej zrozumiteľnosti vnútroštátnych predpisov pre osoby, na ktoré sa vzťahujú, začleniť prvky tohto nariadenia do svojho vnútroštátneho práva.
(9)
Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.
(10)
S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení. Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES, prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy. Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len „citlivé údaje“). V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.
(11)
Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.
(12)
V článku 16 ods. 2 ZFEÚ sa Európsky parlament a Rada poverujú, aby stanovili pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.
(13)
S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov. Riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov toto nariadenie obsahuje výnimku pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov. Okrem toho sa inštitúcie a orgány Únie a členské štáty a ich dozorné orgány nabádajú k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov. Pokiaľ ide o vymedzenie pojmu mikropodniky a malé a stredné podniky, malo by sa vychádzať z článku 2 prílohy k odporúčaniu Komisie 2003/361/ES (5).
(14)
Ochrana, ktorá sa poskytuje týmto nariadením, by sa mala vzťahovať na fyzické osoby bez ohľadu na ich štátnu príslušnosť alebo miesto bydliska vo vzťahu ku spracúvaniu ich osobných údajov. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov, ktoré sa týka právnických osôb, a najmä podnikov založených ako právnické osoby vrátane názvu, formy a kontaktných údajov právnickej osoby.
(15)
S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení. Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo do neho majú byť uložené. Súbory alebo zbierky súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tohto nariadenia.
(16)
Toto nariadenie sa nevzťahuje na otázky ochrany základných práv a slobôd ani na voľný tok osobných údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie.
(17)
Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 (6). Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie, ktoré sa vzťahujú na takéto spracúvanie osobných údajov, by sa mali upraviť podľa zásad a pravidiel stanovených v tomto nariadení a uplatňovať so zreteľom na toto nariadenie. V záujme stanovenia silného a súdržného rámca ochrany údajov v Únii by po prijatí tohto nariadenia mali nasledovať potrebné úpravy nariadenia (ES) č. 45/2001, aby sa začali uplatňovať súčasne s týmto nariadením.
(18)
Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez spojenia s profesijnou alebo komerčnou činnosťou. Osobné alebo domáce činnosti by mohli zahŕňať korešpondenciu a uchovávanie adries či využívanie sociálnych sietí a online činnosti vykonávané v kontexte takýchto činností. Toto nariadenie sa však vzťahuje na prevádzkovateľov alebo sprostredkovateľov, ktorí poskytujú prostriedky na spracúvanie osobných údajov na takéto osobné alebo domáce činnosti.
(19)
Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo jeho predchádzania a voľný pohyb takýchto údajov podlieha osobitnému právnemu aktu Únie. Toto nariadenie by sa preto nemalo vzťahovať na spracovateľské činnosti na takéto účely. Ak sa však osobné údaje spracúvané orgánmi verejnej moci podľa tohto nariadenia používajú na uvedené účely, mal by sa na ne vzťahovať špecifickejší právny akt Únie, a to smernica Európskeho parlamentu a Rady (EÚ) 2016/680 (7). Členské štáty môžu poveriť príslušné orgány v zmysle smernice (EÚ) 2016/680 úlohami, ktoré nie sú nevyhnutne vykonávané na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, pokiaľ patria do pôsobnosti práva Únie, patrí do pôsobnosti tohto nariadenia.
Pokiaľ ide o spracúvanie osobných údajov uvedenými príslušnými orgánmi na účely patriace do rozsahu pôsobnosti tohto nariadenia, členské štáty by mali mať možnosť ponechať v platnosti alebo zaviesť podrobnejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel stanovených v tomto nariadení. V takýchto ustanoveniach sa môžu podrobnejšie stanoviť osobitné požiadavky na spracúvanie osobných údajov uvedenými príslušnými orgánmi na uvedené iné účely, pričom sa v nich zohľadní ústavná, organizačná a administratívna štruktúra príslušného členského štátu. Keď spracúvanie osobných údajov súkromnoprávnymi subjektmi patrí do rozsahu a pôsobnosti tohto nariadenia, mala by sa týmto nariadením členským štátom poskytnúť možnosť, aby za špecifických podmienok právnymi predpismi obmedzili určité povinnosti a práva, keď takéto obmedzenie predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu konkrétnych dôležitých záujmov vrátane verejnej bezpečnosti a predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu. Je to relevantné napríklad v rámci boja proti praniu špinavých peňazí alebo činností forenzných laboratórií.
(20)
Hoci sa toto nariadenie okrem iného vzťahuje aj na činnosti súdov a iných justičných orgánov, mohli by sa v práve Únie alebo v práve členškého štátu spresniť spracovateľské operácie a spracovateľské postupy týkajúce sa spracúvania osobných údajov zo strany súdov a iných justičných orgánov. Právomoc dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov súdmi pri výkone ich súdnej právomoci, aby sa zaručila nezávislosť súdnictva pri výkone jeho justičných úloh vrátane prijímania rozhodnutí. Dozor nad takýmito spracovateľskými operáciami by sa mal môcť zveriť osobitným orgánom v rámci systému súdnictva členského štátu, ktoré by mali predovšetkým zabezpečiť dodržiavanie pravidiel stanovených v tomto nariadení, zvyšovať povedomie sudcov o ich povinnostiach v zmysle tohto nariadenia a vybavovať sťažnosti súvisiace s takýmito operáciami spracúvania údajov.
(21)
Týmto nariadením nie je dotknuté uplatňovanie smernice Európskeho parlamentu a Rady 2000/31/ES (8), najmä pravidlá týkajúce sa zodpovednosti poskytovateľov služieb informačnej spoločnosti uvedené v článkoch 12 až 15 uvedenej smernice. Účelom uvedenej smernice je prispieť k riadnemu fungovaniu vnútorného trhu zabezpečením voľného pohybu služieb informačnej spoločnosti medzi členskými štátmi.
(22)
Každé spracúvanie osobných údajov v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné spracúvanie uskutočňuje v Únii. Prevádzkareň znamená efektívny a skutočný výkon činnosti prostredníctvom stálych dojednaní. Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom.
(23)
S cieľom zabezpečiť, že fyzickým osobám nebude odopretá ochrana, na ktorú majú na základe tohto nariadenia nárok, by sa toto nariadenie malo uplatňovať na spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii vykonávané prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám bez ohľadu na to, či je spojené s platbou. Aby bolo možné určiť, či takýto prevádzkovateľ alebo sprostredkovateľ ponúka tovar alebo služby dotknutým osobám nachádzajúcim sa v Únii, malo by sa zistiť, či je zrejmé, že prevádzkovateľ alebo sprostredkovateľ plánuje ponúkať služby dotknutým osobám v jednom alebo viacerých členských štátoch v Únii. Zatiaľ čo samotná dostupnosť webového sídla prevádzkovateľa, sprostredkovateľa alebo poskytovateľa služieb informačnej spoločnosti v Únii, emailovej adresy či iných kontaktných údajov alebo použitie jazyka, ktorý sa všeobecne používa v tretej krajine, kde je prevádzkovateľ usadený, nie sú dostatočné na potvrdenie takého úmyslu, na základe faktorov, ako sú použitie jazyka alebo meny všeobecne používaných v jednom alebo viacerých členských štátov s možnosťou objednania tovaru a služieb v danom druhom jazyku alebo spomenutie zákazníkov alebo používateľov nachádzajúcich sa v Únii, môže byť zjavné, že prevádzkovateľ má v úmysle ponúkať tovar alebo služby dotknutým osobám v Únii.
(24)
Spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, by tiež malo podliehať tomuto nariadeniu, keď sa týka sledovania ich správania, pokiaľ sa toto správanie uskutočňuje v Únii. Na určenie toho, či spracovateľskú činnosť možno považovať za „sledovanie správania“ dotknutej osoby, by sa malo zistiť, či sú fyzické osoby sledované na internete vrátane prípadného následného využitia technologických riešení spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby.
(25)
Ak sa právo členského štátu uplatňuje na základe medzinárodného práva verejného, toto nariadenie by sa malo uplatňovať aj na prevádzkovateľa, ktorý nie je usadený v Únii, napríklad na diplomatickej misii alebo konzulárnom úrade členského štátu.
(26)
Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.
(27)
Toto nariadenie sa neuplatňuje na osobné údaje zosnulých osôb. Členské štáty môžu stanoviť pravidlá týkajúce sa spracúvania osobných údajov zosnulých osôb.
(28)
Použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovné zavedenie „pseudonymizácie“ v tomto nariadení nie je určené na to, aby sa vylúčili akékoľvek iné opatrenia na ochranu údajov.
(29)
V záujme vytvorenia stimulov na používanie pseudonymizácie pri spracúvaní osobných údajov by sa mali pri súčasnom umožnení všeobecnej analýzy umožniť opatrenia na pseudonymizáciu v rámci toho istého prevádzkovateľa v prípade, že daný prevádzkovateľ prijal technické a organizačné opatrenia potrebné na zabezpečenie vykonania tohto nariadenia vo vzťahu k danému spracúvaniu, a na zabezpečenie toho, že sa dodatočné informácie na priradenie osobných údajov konkrétnej dotknutej osobe uchovávajú oddelene. Prevádzkovateľ, ktorý spracúva osobné údaje, by mal určiť oprávnené osoby v rámci toho istého prevádzkovateľa.
(30)
Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.
(31)
Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s platnými pravidlami ochrany údajov podľa účelov spracúvania.
(32)
Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením. Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely. Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.
(33)
Často nie je možné v čase získavania údajov úplne určiť účel spracúvania osobných údajov na účely vedeckého výskumu. Preto by sa dotknutým osobám malo umožniť udeliť svoj súhlas pre určité oblasti vedeckého výskumu, pokiaľ sú dodržané uznávané etické normy vedeckého výskumu. Dotknuté osoby by mali mať možnosť udeliť svoj súhlas iba na určité oblasti výskumu alebo časti výskumných projektov v rozsahu, ktorý umožňuje zamýšľaný účel.
(34)
Genetické údaje by sa mali vymedziť ako osobné údaje týkajúce sa zdedených alebo nadobudných genetických charakteristických znakov fyzickej osoby, ktoré sú výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií.
(35)
Osobné údaje týkajúce sa zdravia by mali zahŕňať všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Zahŕňajú aj informácie o fyzickej osobe získané pri registrácii na účely poskytovania služieb zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ (9); číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely; informácie získané na základe vykonania testov alebo prehliadok častí organizmu alebo telesných látok vrátane genetických údajov a biologických vzoriek; a akékoľvek informácie, napríklad o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej pomôcky alebo z vykonania diagnostického testu in vitro.
(36)
Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň. Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť podľa objektívnych kritérií a mala by zahŕňať efektívne a skutočné vykonávanie riadiacich činností, pri ktorých sa prijímajú hlavné rozhodnutia týkajúce sa účelu a prostriedkov spracúvania prostredníctvom stálych dojednaní. Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste. Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe hlavnú prevádzkáreň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň. Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii. V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení. V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa. Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik.
(37)
Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov. Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.
(38)
Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov. Takáto osobitná ochrana by sa mala vzťahovať najmä na využívanie osobných údajov detí na účely marketingu alebo vytvorenia osobného alebo používateľského profilu a získavanie osobných údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu. Súhlas nositeľa rodičovských práv a povinností by nemal byť potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu.
(39)
Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú. Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní. Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov. Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov. Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.
(40)
Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v tomto nariadení alebo v iných právnych predpisoch Únie alebo v práve členského štátu, ako je to uvedené v tomto nariadení, vrátane nevyhnutnosti plnenia zákonných povinností, ktoré má prevádzkovateľ, alebo nevyhnutnosti plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo s cieľom podniknúť kroky na požiadanie dotknutej osoby pred uzavretím zmluvy.
(41)
Keď sa v tomto nariadení odkazuje na právny základ alebo legislatívne opatrenie, nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý parlamentom, bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku dotknutého členského štátu. Takýto právny základ alebo legislatívne opatrenie by však mali byť jasné a presné a ich uplatňovanie by malo byť predvídateľné pre tie osoby, na ktoré sa vzťahujú, a to v súlade s judikatúrou Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) a Európskeho súdu pre ľudské práva.
(42)
Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním. Najmä v kontexte písomného vyhlásenia v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje. V súlade so smernicou Rady 93/13/EHS (10) by vyjadrenie súhlasu, ktoré vopred naformuloval prevádzkovateľ, malo byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemalo by obsahovať nekalé podmienky. Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov. Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.
(43)
Aby sa zabezpečilo, že súhlas sa poskytol slobodne, súhlas by nemal byť platným právnym dôvodom na spracúvanie osobných údajov v konkrétnom prípade, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom verejnej moci, a preto nie je pravdepodobné, že sa súhlas poskytol slobodne za všetkých okolností danej konkrétnej situácie. Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný.
(44)
Spracúvanie by sa malo považovať za zákonné, ak je potrebné v súvislosti so zmluvou alebo s úmyslom uzatvoriť zmluvu.
(45)
Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu. Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis. Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci. Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania. Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie. V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.
(46)
Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.
(47)
Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi. Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách. Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť. Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie. Keďže je úlohou zákonodarcu, aby v právnych predpisoch stanovil právny základ pre spracúvanie osobných údajov orgánmi verejnej moci, tento právny základ by sa nemal vzťahovať na spracúvanie orgánmi verejnej moci pri plnení ich úloh. Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov. Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.
(48)
Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely vrátane spracúvania osobných údajov klientov alebo zamestnancov. Tým nie sú dotknuté všeobecné zásady prenosu osobných údajov v rámci skupiny podnikov podniku nachádzajúcemu sa v tretej krajine.
(49)
Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov, a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov orgánmi verejnej moci, jednotkami reakcie na núdzové počítačové situácie (CERT), jednotkami pre riešenie počítačových incidentov (CSIRT), poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov. Mohlo by to napríklad zahŕňať zabránenie neoprávnenému prístupu k elektronickým komunikačným sieťam a šíreniu škodlivých programových kódov, ako aj zastavenie útokov sledujúcich cielené preťaženie serverov („denial of service“) a poškodzovanie počítačových a elektronických komunikačných systémov.
(50)
Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané. V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov. Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie alebo v práve členského štátu sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné so zákonnými spracovateľskými operáciami. Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie alebo v práve členského štátu, môže byť aj právnym základom pre ďalšie spracúvanie. S cieľom zistiť, či je účel ďalšieho spracúvania v súlade s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek zákonnosti pôvodného spracúvania zohľadniť okrem iného akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk v pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.
Ak dotknutá osoba udelila súhlas alebo sa spracúvanie zakladá na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov. V každom prípade by sa malo zabezpečiť uplatnenie zásad stanovených v tomto nariadení, najmä povinnosti informovať dotknutú osobu o týchto iných účeloch a o jej právach vrátane práva namietať. Oznámenie možných trestných činov alebo ohrozenia verejnej bezpečnosti prevádzkovateľom a poskytnutie relevantných osobných údajov v jednotlivých prípadoch alebo viacerých prípadoch týkajúcich sa toho istého trestného činu alebo ohrozenia verejnej bezpečnosti príslušnému orgánu by sa malo považovať za oprávnený záujem, ktorý sleduje prevádzkovateľ. Takéto poskytnutie v oprávnenom záujme prevádzkovateľa alebo ďalšie spracúvanie osobných údajov by sa však malo zakázať, ak toto spracúvanie nie je v súlade s právnou, profesijnou alebo inou záväznou povinnosťou mlčanlivosti.
(51)
Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká. Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás. Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nie je povolené v osobitných prípadoch stanovených v tomto nariadení, pričom sa zohľadní, že právo členských štátov môže stanoviť osobitné ustanovenia o ochrane údajov, ktorými prispôsobia uplatňovanie pravidiel tohto nariadenia na účely splnenia zákonnej povinnosti alebo úlohy realizovanej vo verejnom záujme či pri výkone verejnej moci zverenej prevádzkovateľovi. Okrem osobitných požiadaviek na takéto spracúvanie by sa mali uplatňovať všeobecné zásady a iné pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky pre zákonné spracúvanie. Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.
(52)
Výnimka zo zákazu spracúvania osobitných kategórií osobných údajov by sa taktiež mala povoliť, ak je to stanovené v práve Únie alebo v práve členského štátu, a za splnenia vhodných záruk, aby boli chránené osobné údaje a iné základné práva, ak to odôvodňuje verejný záujem, najmäspracúvanie osobných údajovv oblasti pracovného práva, práva sociálnej ochrany vrátane dôchodkového zabezpečenia, a na účely zdravotnej bezpečnosti, monitorovania a varovania, prevencie alebo kontroly prenosných chorôb a iných závažných hrozieb pre zdravie. Takáto výnimka sa môže vykonať na zdravotné účely vrátane verejného zdravia a riadenia služieb zdravotnej starostlivosti, najmä s cieľom zabezpečiť kvalitu a nákladovú efektívnosť postupov používaných na uspokojovanie nárokov na plnenie a služby v systéme zdravotného poistenia, alebo na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. Výnimka by sa mala povoliť aj na spracúvanie takýchto osobných údajov, ak je to potrebné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, a to bez ohľadu na to, či ide súdne alebo správne konanie alebo mimosúdne konanie.
(53)
Osobitné kategórie osobných údajov, ktoré si zasluhujú vyššiu ochranu, by sa mali spracúvať len na zdravotné účely, ak je to potrebné na dosiahnutie týchto účelov v prospech fyzických osôb a spoločnosti ako celku, najmä v súvislosti s riadením služieb a systémov zdravotnej alebo sociálnej starostlivosti vrátane spracúvania takýchto údajov manažmentom a ústrednými národnými zdravotníckymi orgánmi na účely kontroly kvality, informácií potrebných pre riadenie a všeobecného vnútroštátneho a miestneho dohľadu nad systémom zdravotnej alebo sociálnej starostlivosti, a zabezpečenia kontinuity zdravotnej alebo sociálnej starostlivosti a cezhraničnej zdravotnej starostlivosti alebo zdravotnej bezpečnosti, monitorovania a varovných účelov, alebo na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely na základe práva Únie alebo práva členského štátu, ktoré musí spĺňať cieľ verejného záujmu, ako aj na štúdie uskutočňované vo verejnom záujme v oblasti verejného zdravia. Týmto nariadením by sa preto mali stanoviť harmonizované podmienky pre spracúvanie osobitných kategórií osobných údajov týkajúcich sa zdravia v súvislosti s osobitnými potrebami, najmä ak spracúvanie takýchto údajov vykonávajú na určité zdravotné účely osoby, na ktoré sa vzťahuje zákonná povinnosť zachovania profesijného tajomstva. V práve Únie alebo v práve členského štátu by sa mali stanoviť osobitné a vhodné opatrenia na ochranu základných práv a osobných údajov fyzických osôb. Členským štátom by sa malo umožniť zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia. To by však nemalo brániť voľnému toku osobných údajov v rámci Únie, keď sa tieto podmienky vzťahujú na cezhraničné spracúvanie takýchto údajov.
(54)
Spracúvanie osobitných kategórií osobných údajov bez súhlasu dotknutej osoby môže byť potrebné z dôvodov verejného záujmu v oblasti verejného zdravia. Takéto spracúvanie by malo podliehať vhodným a konkrétnym opatreniam na ochranu práv a slobôd fyzických osôb. V tejto súvislosti by sa malo „verejné zdravie“ vykladať v zmysle nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008 (11), teda malo by zahŕňať všetky prvky týkajúce sa zdravia, a to zdravotný stav vrátane chorobnosti a zdravotného postihnutia, faktory ovplyvňujúce tento zdravotný stav, potreby zdravotnej starostlivosti, zdroje pridelené na zdravotnú starostlivosť, poskytovanie zdravotnej starostlivosti a jej všeobecnú dostupnosť, ako aj výdavky na zdravotnú starostlivosť a jej financovanie, a príčiny smrti. Takéto spracúvanie údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami, napríklad zamestnávateľmi či poisťovňami a bankami.
(55)
Okrem toho sa spracúvanie osobných údajov oficiálnymi orgánmi na účel dosiahnutia cieľov oficiálne uznaných náboženských združení, pričom ide o ciele stanovené ústavným právom alebo medzinárodným právom verejným, vykonáva vo verejnom záujme.
(56)
Ak si počas volebných aktivít fungovanie demokratického systému v niektorom členskom štáte vyžaduje, aby politické strany zhromažďovali osobné údaje o politických názoroch ľudí, môže byť spracúvanie takýchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú poskytnuté primerané záruky.
(57)
Ak osobné údaje, ktoré spracúva prevádzkovateľ, nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia. Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv. Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad použitím rovnakých prihlasovacích údajov, ktoré dotknutá osoba použila na prihlásenie do online služby poskytovanej prevádzkovateľom.
(58)
Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné. Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla. Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely. Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, by mali byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.
(59)
Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv podľa tohto nariadenia a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie, a na uplatnenie práva namietať. Prevádzkovateľ by mal tiež poskytnúť možnosť, aby sa žiadosti mohli podávať elektronicky, najmä ak sa osobné údaje spracúvajú elektronickými prostriedkami. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody v prípade, ak nemá v úmysle vyhovieť takejto žiadosti.
(60)
Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú. Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania. Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne. Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania. Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.
(61)
Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote v závislosti od okolností prípadu. Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli osobné údaje prvýkrát poskytnuté tomuto príjemcovi. Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie. Ak sa z dôvodu použitia viacerých zdrojov nemohol dotknutej osobe poskytnúť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.
(62)
Nie je však potrebné uložiť povinnosť poskytovať informácie, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je výslovne stanovené zákonom, alebo ak sa poskytnutie informácií dotknutej osobe ukáže ako nemožné alebo by si vyžiadalo vynaloženie neprimeraného úsilia. Posledná situácia by mohla byť najmä spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.
(63)
Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom. Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.
(64)
Prevádzkovateľ by mal použiť všetky primerané opatrenia na overenie totožnosti dotknutej osoby, ktorá žiada o prístup k údajom, najmä v súvislosti s online službami a online identifikátormi. Prevádzkovateľ by nemal uchovávať osobné údaje len preto, aby bol schopný reagovať na prípadné žiadosti.
(65)
Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie či právo členského štátu vzťahujúce sa na prevádzkovateľa. Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov. Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné v prípadoch, keď je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
(66)
Aby sa posilnilo „právo na zabudnutie“ v online prostredí, malo by sa rozšíriť právo na vymazanie aj tým, aby prevádzkovateľ, ktorý osobné údaje zverejnil, bol povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, o vymazaní všetkých odkazov na tieto osobné údaje alebo kópií či replík týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky, so zohľadnením dostupnej technológie a prostriedkov, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby.
(67)
Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať dočasné presunutie vybraných údajov do iného systému spracúvania, zamedzenie prístupu používateľov k vybraným osobným údajom alebo dočasné odstránenie zverejnených údajov z webového sídla. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami takým spôsobom, aby osobné údaje neboli predmetom ďalších spracovateľských operácií a nebolo možné ich meniť. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala jasne vyznačiť.
(68)
S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi. Prevádzkovatelia by sa mali nabádať, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov. Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy. Nemalo by sa uplatňovať, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva. Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje pri výkone svojich verejných úloh. Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné. Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia. Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy. Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.
(69)
Ak by osobné údaje mohli byť zákonne spracúvané, pretože spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo na základe oprávnených záujmov prevádzkovateľa alebo tretej strany, dotknutá osoba by mala mať právo namietať proti spracúvaniu akýchkoľvek osobných údajov, ktoré sa týkajú jej konkrétnej situácie. Malo by byť na prevádzkovateľovi, aby preukázal, že jeho závažné oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.
(70)
Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba by mala mať právo namietať proti takému spracúvaniu vrátane profilovania, pokiaľ súvisí s takýmto priamym marketingom, bez ohľadu na to, či ide o pôvodné alebo ďalšie spracúvanie, a to kedykoľvek a bezplatne. Dotknutá osoba by mala byť výslovne upozornená na uvedené právo, pričom sa uvedené právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.
(71)
Dotknutá osoba by mala mať právo nepodliehať rozhodnutiu, ktoré môže zahŕňať opatrenie, hodnotiacemu osobné aspekty, ktoré sa jej týkajú, založenému výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako je napríklad automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu. Takéto spracúvanie zahŕňa „profilovanie“ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú. Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie alebo právom členského štátu, ktoré sa vzťahuje na prevádzkovateľa, a to aj na účely monitorovania podvodov a daňových únikov a ich predchádzania, ktoré sa uskutočňuje v súlade s právnym predpismi, normami a odporúčaniami inštitúcií Únie alebo vnútroštátnych orgánov dozoru, a na zaistenie bezpečnosti a spoľahlivosti služby poskytovanej zo strany prevádzkovateľa, alebo ak je nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, alebo ak dotknutá osoba dala svoj výslovný súhlas. V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať určité informácie pre dotknutú osobu a právo na ľudský zásah, vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a napadnúť rozhodnutie. Takéto opatrenie by sa memalo týkať dieťaťa.
S cieľom zabezpečiť spravodlivé a transparentné spracúvanie vo vzťahu k dotknutej osobe a s ohľadom na konkrétne okolnosti a súvislosti spracúvania osobných údajov by mal prevádzkovateľ používať na účely profilovania primerané matematické alebo štatistické postupy, prijať technické a organizačné opatrenia vhodné na to, aby sa predovšetkým zabezpečilo, že faktory, ktoré vedú k nesprávnosti osobných údajov, sa opravia a riziko chýb sa minimalizuje, zabezpečiť osobné údaje tak, aby sa zohľadnili súvisiace potenciálne riziká pre záujmy a práva dotknutej osoby a aby sa okrem iného zabránilo diskriminačným účinkom na fyzické osoby na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Automatizované rozhodovanie a profilovanie založené na osobitných kategóriách osobných údajov by sa malo umožniť len za osobitných podmienok.
(72)
Na profilovanie sa vzťahujú pravidlá stanovené v tomto nariadení upravujúce spracúvanie osobných údajov, ako napríklad právne dôvody spracúvania alebo zásady ochrany údajov. Európsky výbor pre ochranu údajov, zriadený týmto nariadením (ďalej len „výbor“), by mal mať možnosť vydať v tejto súvislosti usmernenie.
(73)
Právom Únie alebo právom členského štátu sa môžu uložiť obmedzenia týkajúce sa osobitných zásad a práv na informovanie, prístup a opravu alebo vymazanie osobných údajov, práva na prenosnosť údajov, práva namietať, rozhodnutí založených na profilovaní, ako aj informovania dotknutej osoby o porušení ochrany osobných údajov a o určitých súvisiacich povinnostiach prevádzkovateľov, pokiaľ je to v demokratickej spoločnosti potrebné a primerané na zaistenie verejnej bezpečnosti vrátane ochrany ľudského života, najmä v reakcii na prírodné katastrofy alebo katastrofy spôsobené ľudskou činnosťou, predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, alebo vyšetrovania porušovaniu etiky v regulovaných profesiách, ich vyšetrovania a stíhania, alebo iných dôležitých cieľov všeobecného verejného záujmu Únie alebo členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu, vedenia verejných registrov vedených vo všeobecnom verejnom záujme, ďalšieho spracúvania archivovaných osobných údajov na účely poskytnutia konkrétnych informácií o politickom správaní počas bývalého totalitného štátneho režimu, alebo ochrany dotknutej osoby alebo práv a slobôd iných vrátane sociálnej ochrany, verejného zdravia a humanitárnych účelov. Uvedené obmedzenia by mali byť v súlade s požiadavkami stanovenými v Charte a v Európskom dohovore o ochrane ľudských práv a základných slobôd.
(74)
Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.
(75)
Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory a členstvo v odborových organizíciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.
(76)
Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutých osôb by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie obsahujú riziko alebo vysoké riziko.
(77)
Usmernenie na vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika by mohlo byť poskytnuté najmä prostredníctvom schválených kódexov správania, schválenej certifikácie, usmernení vypracovaných výborom alebo pokynov poskytnutých zodpovednou osobou. Výbor môže vydať aj usmernenia pre spracovateľské operácie, v súvislosti s ktorými sa nepovažuje za pravdepodobné, že by viedli k vysokému riziku pre práva a slobody fyzických osôb, a uviesť, aké opatrenia môžu byť v takýchto prípadoch na vyriešenie takého rizika dostatočné.
(78)
Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia. Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky. Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov. Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.
(79)
Ochrana práv a slobôd dotknutých osôb, ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné rozdelenie povinností podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.
(80)
Ak prevádzkovateľ alebo sprostredkovateľ, ktorý nie je usadený v Únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, pričom jeho spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Únii, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Únii, prevádzkovateľ alebo sprostredkovateľ by mal určiť zástupcu okrem prípadov, keď spracúvanie, ktoré vykonáva, je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom. Zástupca by mal konať v mene prevádzkovateľa alebo sprostredkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán. Zástupca by mal byť výslovne určený písomným poverením prevádzkovateľa alebo sprostredkovateľa, aby konal v jeho mene v súvislosti s jeho povinnosťami podľa tohto nariadenia. Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto nariadenia. Takýto zástupca by mal vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa a ktoré zahŕňa spoluprácu s príslušnými dozornými orgánmi v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto nariadením. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca by mal podliehať konaniam na presadenie práva.
(81)
S cieľom zabezpečiť súlad s požiadavkami tohto nariadenia v súvislosti so spracúvaním, ktoré má v mene prevádzkovateľa vykonať sprostredkovateľ, by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto nariadenia, vrátane požiadavky na bezpečnosť spracúvania. Dodržiavanie schváleného kódexu správania alebo schváleného certifikačného mechanizmu sprostredkovateľom sa môže použiť ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa. Vykonávanie spracúvania sprostredkovateľom by sa malo riadiť zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktorými by bol sprostredkovateľ viazaný voči prevádzkovateľovi a v ktorých by sa stanovil predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb, a ktoré by mali zohľadniť osobitné úlohy a povinnosti sprostredkovateľa v kontexte spracúvania, ktoré sa má vykonať, a riziko pre práva a slobody dotknutých osôb. Prevádzkovateľ a sprostredkovateľ si môžu vybrať použitie individuálnej zmluvy alebo štandardných zmluvných doložiek, ktoré prijme buď priamo Komisia, alebo ktoré prijme dozorný orgán v súlade s mechanizmom konzistentnosti a následne ich prijme Komisia. Po ukončení spracúvania v mene prevádzkovateľa by mal sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha, neexistuje požiadavka na uchovanie osobných údajov.
(82)
Na účely preukázania súladu s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť tieto záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií.
(83)
S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.
(84)
S cieľom posilniť súlad s týmto nariadením, ak je pravdepodobné, že spracovateľské operácie povedú k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ by mal byť zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom zhodnotiť najmä pôvod, povahu, osobitosť a závažnosť tohto rizika. Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s týmto nariadením. Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom.
(85)
Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
(86)
Prevádzkovateľ by mal bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, aby mohla prjať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, zmierniť potenciálne nepriaznivé dôsledky. Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr je to možné, a v úzkej spolupráci s dozorným orgánom v súlade s usmerneniami tohto alebo iného relevantného orgánu, napríklad orgánov presadzovania práva. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, avšak potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany osobných údajov môže opodstatniť aj dlhšiu lehotu na informovanie.
(87)
Malo by sa zistiť, či sa prijali všetky primerané technické ochranné a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby. Malo by sa zistiť, či sa oznámenie uskutočnilo bez zbytočného odkladu, pričom sa zohľadňuje najmä povaha a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé dôsledky pre dotknutú osobu. Toto oznámenie môže viesť k zásahu dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení.
(88)
Pri stanovovaní podrobných pravidiel týkajúcich sa formátu a postupov uplatniteľných na oznámenia o porušení ochrany osobných údajov by sa mala venovať náležitá pozornosť okolnostiam daného porušenia, ako aj tomu, či osobné údaje boli chránené primeranými technickými ochrannými opatreniami, ktoré účinne obmedzujú pravdepodobnosť krádeže totožnosti alebo inej formy zneužitia. V takýchto pravidlách a postupoch by sa okrem toho mali zohľadňovať aj oprávnené záujmy orgánov presadzovania práva v prípadoch, v ktorých by predčasné poskytnutie informácií mohlo zbytočne brániť vyšetrovaniu okolností porušenia ochrany osobných údajov.
(89)
V smernici 95/46/ES bola stanovená všeobecná povinnosť oznamovať spracúvanie osobných údajov dozorným orgánom. Uvedená povinnosť spôsobuje administratívnu a finančnú záťaž, a pritom neprispela vždy k zlepšeniu ochrany osobných údajov. Takéto nerozlišujúce všeobecné oznamovacie povinnosti by sa preto mali zrušiť a mali by sa nahradiť efektívnymi postupmi a mechanizmami zameranými namiesto toho na tie typy spracovateľských operácií, ktoré pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu. Takýmito typmi spracovateľských operácií môžu byť najmä tie, ktoré používajú nové technológie, alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu údajov, alebo ak sa stanú nevyhnutnými vzhľadom na čas, ktorý uplynul od prvotného spracúvania.
(90)
V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.
(91)
Tento postup by sa mal uplatniť najmä pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva a slobody dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva. Posúdenie vplyvu na ochranu údajov by sa malo vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach. Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak sa príslušný dozorný orgán domnieva, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu. Spracúvanie osobných údajov by sa nemalo považovať za spracúvanie veľkého rozsahu, ak sa týka osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom. V takýchto prípadoch by posúdenie vplyvu na ochranu údajov nemalo byť povinné.
(92)
Existujú okolnosti, za ktorých môže byť vhodné a hospodárne, aby sa predmet posúdenia vplyvu na ochranu údajov nevzťahoval len na jeden projekt, ale bol širší, napríklad ak orgány verejnej moci alebo verejnoprávne subjekty zamýšľajú vytvoriť spoločnú aplikáciu či spracovateľskú platformu alebo ak niekoľko prevádzkovateľov zamýšľa zaviesť spoločnú aplikáciu či spracovateľské prostredie v rámci odvetvia alebo segmentu priemyslu alebo na široko rozvetvenú horizontálnu činnosť.
(93)
V súvislosti s prijímaním práva členského štátu, na ktorom je založené vykonávanie úloh orgánu verejnej moci alebo verejnoprávneho subjektu a ktorý upravuje dotknutú osobitnú spracovateľskú operáciu alebo súbor takýchto operácií, môžu členské štáty považovať za potrebné vykonať takéto posúdenie pred spracovateľskými činnosťami.
(94)
Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, dozorný orgán by sa mal konzultovať ešte pred začiatkom spracovateľskej činnosti. Takéto vysoké riziko pravdepodobne vyplýva z určitého typu spracúvania a rozsahu a frekvencie spracúvania, v dôsledku ktorých môže tiež vzniknúť škoda alebo zásah do práv a slobôd fyzickej osoby. Dozorný orgán by mal odpovedať na žiadosť o konzultáciu v stanovenej lehote. Ak však dozorný orgán v rámci tejto lehoty nezareaguje, nie je tým dotknutý žiadny zásah dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení vrátane práva zakázať spracovateľské operácie. Súčasťou tohto konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov, ktoré sa vykonalo v súvislosti s daným spracúvaním, dozornému orgánu, a to najmä opatrení určených na zmiernenie rizika pre práva a slobody fyzických osôb.
(95)
Sprostredkovateľ by mal pomáhať prevádzkovateľovi pri zabezpečovaní súladu s povinnosťami, ktoré vyplývajú z vykonávania posúdení vplyvu na ochranu údajov a z predchádzajúcej konzultácie dozorného orgánu, keď je to potrebné alebo keď ho o to prevádzkovateľ požiada.
(96)
Dozorný orgán by sa mal konzultovať aj počas prípravy legislatívneho alebo regulačného opatrenia, ktorým sa stanovuje spracúvanie osobných údajov, aby sa zabezpečil súlad zamýšľaného spracúvania s týmto nariadením a predovšetkým zmiernilo riziko pre dotknutú osobu.
(97)
Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov. V súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti. Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.
(98)
Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania v rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikropodnikov a malých a stredných podnikov. V takýchto kódexoch správania by sa mohli najmä nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania, pokiaľ ide o práva a slobody fyzických osôb.
(99)
Pri vypracúvaní kódexu správania alebo pri zmene alebo rozšírení takého kódexu by mali združenia a iné subjekty reprezentujúce kategórie prevádzkovateľov alebo sprostredkovateľov konzultovať s príslušnými zainteresovanými stranami, a to podľa potreby aj s dotknutými osobami, a mali by zohľadniť doručené podania a názory vyjadrené v reakcii na takéto konzultácie.
(100)
S cieľom zlepšiť transparentnosť a posilniť súlad s týmto nariadením by sa malo podporiť vytvorenie mechanizmov certifikácie a pečatí a značiek ochrany údajov, aby sa dotknutým osobám umožnilo rýchlo posúdiť úroveň ochrany údajov v prípade relevantných produktov a služieb.
(101)
Toky osobných údajov do krajín mimo Únie a medzinárodným organizáciám aj z takýchto krajín a medzinárodných organizácií sú potrebné pre rozmach medzinárodného obchodu a medzinárodnú spoluprácu. Zvyšovanie takýchto tokov so sebou prinieslo nové výzvy a potreby týkajúce sa ochrany osobných údajov. Úroveň ochrany údajov fyzických osôb zaručovaná Úniou na základe tohto nariadenia by nemala byť ohrozená ani vtedy, keď sú osobné údaje prenášané z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom, sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii. V každom prípade sa prenosy do tretích krajín a medzinárodným organizáciám môžu vykonávať len v úplnom súlade s týmto nariadením. Prenos by sa mohol uskutočniť len vtedy, ak s výhradou ostatných ustanovení v tomto nariadení prevádzkovateľ alebo sprostredkovateľ splnili podmienky stanovené v tomto nariadení týkajúce sa prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.
(102)
Toto nariadenie sa nedotýka medzinárodných dohôd uzatvorených medzi Úniou a tretími krajinami, ktoré upravujú prenos osobných údajov a poskytujú náležité záruky pre dotknuté osoby. Členské štáty môžu uzavrieť medzinárodné dohody, ktoré zahŕňajú prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám, pokiaľ takéto dohody neovplyvňujú toto nariadenie alebo akékoľvek iné ustanovenia práva Únie a zahŕňajú primeranú úroveň ochrany základných práv dotknutých osôb.
(103)
Komisia môže s účinnosťou pre celú Úniu rozhodnúť, že tretia krajina, územie alebo určený sektor v tretej krajine alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany údajov, čím zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za tretiu krajinu alebo medzinárodnú organizáciu poskytujúcu takúto úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia. Komisia môže tiež rozhodnúť takéto rozhodnutie odvolať po tom, ako to tretej krajine alebo medzinárodnej organizácii oznámi a v plnom rozsahu odôvodní.
(104)
V súlade so základnými hodnotami, na ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia mala pri posúdení tretej krajiny alebo územia či určeného sektora v tretej krajine zohľadniť skutočnosť, ako príslušná tretia krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti a medzinárodné normy a štandardy v oblasti ľudských práv, ako aj jej všeobecné a odvetvové právo vrátane právnych predpisov týkajúcich sa verejnej bezpečnosti, obrany a národnej bezpečnosti, ako aj verejného poriadku a trestného práva. Pri prijímaní rozhodnutia o primeranosti týkajúceho sa územia alebo určeného sektora v tretej krajine by sa mali zohľadniť jasné a objektívne kritériá, ako sú napríklad osobitné spracovateľské činnosti a rozsah pôsobnosti uplatniteľných právnych noriem a platných právnych predpisov v tretej krajine. Tretia krajina by mala poskytnúť záruky, ktorými sa zaistí primeraná úroveň ochrany, ktorá v zásade zodpovedá úrovni zabezpečenej v rámci Únie, najmä ak sa osobné údaje spracúvajú v jednom alebo vo viacerých určených sektoroch. Tretia krajina by predovšetkým mala zabezpečiť účinný a nezávislý dozor nad ochranou údajov, ako aj mechanizmy spolupráce s orgánmi členských štátov na ochranu údajov a dotknutým osobám by sa mali poskytnúť účinné a vymožiteľné práva a účinné správne a súdne prostriedky nápravy.
(105)
Okrem medzinárodných záväzkov, ktoré tretia krajina alebo medzinárodná organizácia prevzali, by Komisia mala zohľadniť povinnosti vyplývajúce z účasti tretej krajiny alebo medzinárodnej organizácie vo viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov, ako aj k vykonávaniu takýchto záväzkov. Predovšetkým by sa malo zohľadniť pristúpenie tretej krajiny k Dohovoru Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov a dodatkovému protokolu k nemu. Komisia by pri posudzovaní úrovne ochrany v tretích krajinách alebo medzinárodných organizáciách mala uskutočniť s výborom konzultácie.
(106)
Komisia by mala monitorovať fungovanie rozhodnutí o úrovni ochrany v tretej krajine, na území alebo v určenom sektore v tretej krajine alebo v medzinárodnej organizácii a mala by monitorovať fungovanie rozhodnutí prijatých na základe článku 25 ods. 6 alebo článku 26 ods. 4 smernice 95/46/ES. Komisia by vo svojom rozhodnutí o primeranosti mala ustanoviť mechanizmus na pravidelné preskúmanie ich fungovania. Toto pravidelné preskúmanie by sa malo uskutočniť po konzultácii s dotknutou treťou krajinou alebo medzinárodnou organizáciou a mali by sa v ňom zohľadniť všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Na účely monitorovania a vykonávania pravidelných preskúmaní by Komisia mala zohľadniť stanoviská a zistenia Európskeho parlamentu a Rady, ako aj ďalších príslušných orgánov a zdrojov. Komisia by mala v primeranej lehote zhodnotiť fungovanie posledných vyššie uvedených rozhodnutí a informovať o akýchkoľvek relevantných zisteniach výbor v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) č. 182/2011 (12), ustanovený týmto nariadením, Európsky parlament a Radu.
(107)
Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať, pokiaľ nie sú splnené požiadavky tohto nariadenia týkajúce sa prenosov na základe primeraných záruk, vrátane záväzných vnútropodnikových pravidiel a výnimiek pre osobitné situácie. V takomto prípade by sa mali stanoviť postupy na účely konzultácií medzi Komisiou a takýmito tretími krajinami alebo medzinárodnými organizáciami. Komisia by mala včas informovať tretiu krajinu alebo medzinárodnú organizáciu o dôvodoch a začať s ňou konzultácie s cieľom napraviť tento stav.
(108)
Pri absencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom. Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine. Mali by sa týkať predovšetkým súladu so všeobecnými zásadami spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov. Prenosy môžu vykonávať aj orgány verejnej moci alebo verejnoprávne subjekty s orgánmi verejnej moci alebo verejnoprávnymi subjektmi v tretích krajinách alebo s medzinárodnými organizáciami s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb. Povolenie príslušného dozorného orgánu by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné.
(109)
Možnosť pre prevádzkovateľa alebo sprostredkovateľa uplatniť štandardné doložky o ochrane údajov prijaté Komisiou alebo dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy, ako napríklad zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridali ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami prijatými Komisiou alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb. Prevádzkovatelia a sprostredkovatelia by sa mali nabádať, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné ochranné doložky.
(110)
Skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti by mala byť schopná uplatňovať schválené záväzné vnútropodnikové pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, pokiaľ takéto vnútropodnikové pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.
(111)
Mali by sa prijať ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi. Mali by sa prijať ustanovenia aj o možnosti prenosov, ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v práve Únie alebo v práve členského štátu alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.
(112)
Uvedené výnimky by sa mali uplatňovať predovšetkým na prenosy údajov, ktoré sa požadujú a sú potrebné zo závažných dôvodov verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Ak nie je k dispozícii rozhodnutie o primeranosti, môžu sa v práve Únie alebo v práve členského štátu zo závažných dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií údajov do tretej krajiny alebo medzinárodnej organizácii. Členské štáty by mali takéto ustanovenia oznámiť Komisii. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu, medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby.
(113)
Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva a slobody dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov. Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu základných práv a slobôd fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov. Takéto prenosy by mali byť možné len v zostatkových prípadoch, v ktorých nie sú dané iné dôvody na prenos. Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí. Prevádzkovateľ by mal informovať o prenose dozorný orgán a dotknutú osobu.
(114)
V každom prípade, ak Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú vymožiteľné a účinné práva, že budú aj naďalej môcť uplatňovať základné práva a záruky, pokiaľ ide o spracúvanie ich údajov v Únii, keď budú tieto údaje prenesené.
(115)
Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom. Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Úniou v tomto nariadení. Prenosy by mali byť povolené, len ak sa splniapodmienky uvedené v tomto nariadení pre prenosy do tretích krajín. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu uznaného v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha.
(116)
Pri cezhraničnom pohybe osobných údajov mimo Úniu môže byť schopnosť fyzických osôb uplatniť si práva na ochranu údajov vystavená vyššiemu riziku, a to najmä pokiaľ ide o ich ochranu pred nezákonným využitím alebo poskytnutím týchto informácií. Zároveň môžu dozorné orgány zistiť, že nedokážu vybavovať sťažnosti alebo viesť vyšetrovania týkajúce sa činností vykonávaných za ich hranicami. Prekážkou v ich úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné preventívne alebo nápravné právomoci, nekonzistentné právne režimy a praktické prekážky, napríklad nedostatočné zdroje. Preto je potrebné podporovať užšiu spoluprácu medzi dozornými orgánmi pre ochranu údajov s cieľom pomôcť im pri výmene informácií a pri vyšetrovaniach vykonávaných v spolupráci s ich medzinárodnými partnermi. Na účely vypracovania mechanizmov medzinárodnej spolupráce s cieľom uľahčiť a poskytovať medzinárodnú vzájomnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov by si Komisia a dozorné orgány mali vymieňať informácie a spolupracovať v činnostiach, ktoré sa týkajú výkonu ich právomocí, s príslušnými orgánmi tretích krajín, a to na základe reciprocity a v súlade s týmto nariadením.
(117)
Zriadenie dozorných orgánov v členských štátoch oprávnených plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.
(118)
Nezávislosť dozorných orgánov by nemala znamenať, že dozorné orgány nemôžu podliehať kontrole alebo monitorovacim mechanizmom, pokiaľ ide o ich finančné výdavky, alebo že nemôžu podliehať súdnemu preskúmaniu.
(119)
Ak členský štát zriadi viacero dozorných orgánov, mal by v právnych predpisoch stanoviť mechanizmy na zabezpečenie efektívnej účasti týchto dozorných orgánov na mechanizme konzistentnosti. Takýto členský štát by mal najmä určiť dozorný orgán, ktorý bude fungovať ako jediné kontaktné miesto pre efektívnu účasť týchto orgánov na uvedenom mechanizme, s cieľom zabezpečiť rýchlu a bezproblémovú spoluprácu s ostatnými dozornými orgánmi, výborom a Komisiou.
(120)
Každému dozornému orgánu by sa mali poskytnúť finančné a ľudské zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh vrátane tých, ktoré sa týkajú vzájomnej pomoci a spolupráce s ostatnými dozornými orgánmi v rámci Únie. Každý dozorný orgán by mal mať samostatný verejný ročný rozpočet, ktorý môže byť súčasťou celkového štátneho alebo národného rozpočtu.
(121)
Každý členský štát by mal vo svojich právnych predpisoch stanoviť všeobecné podmienky pre člena alebo členov dozorného orgánu a najmä by mal zabezpečiť, aby týchto členov vymenoval transparentným postupom parlament, vláda alebo hlava členského štátu na základe návrhu vlády, člena vlády, parlamentu či jeho komory, alebo nezávislým subjektom povereným podľa práva členského štátu. S cieľom zabezpečiť nezávislosť dozorného orgánu by mal jeho člen alebo členovia konať bezúhonne, mali by sa zdržať akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia by nemali vykonávať žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou. Dozorný orgán by mal mať vlastný personál vybraný dozorným orgánom alebo nezávislým subjektom zriadeným právom členského štátu, ktorý by mal byť podriadený výlučne členovi alebo členom dozorného orgánu.
(122)
Každý dozorný orgán by mal byť príslušný vykonávať na území svojho členského štátu právomoci a úlohy, ktoré mu boli zverené v súlade s týmto nariadením. To by sa malo týkať najmä spracúvania v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu, spracúvania osobných údajov, ktoré vykonávajú orgány verejnej moci alebo súkromnoprávne subjekty konajúce vo verejnom záujme, spracúvania, ktoré ovplyvňuje dotknuté osoby na jeho území, alebo spracúvania vykonávaného prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak je zacielený na dotknuté osoby s pobytom na území Únie. To by malo zahŕňať vybavovanie sťažností podaných dotknutými osobami, vedenie vyšetrovaní týkajúcich sa uplatňovania tohto nariadenia a zvyšovanie povedomia verejnosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracúvaním osobných údajov.
(123)
Dozorné orgány by mali monitorovať uplatňovanie ustanovení podľa tohto nariadenia a prispievať k jeho konzistentnému uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri spracúvaní ich osobných údajov a uľahčenia voľného toku osobných údajov v rámci vnútorného trhu. Na tento účel by mali dozorné orgány spolupracovať navzájom, ako aj s Komisiou bez toho, aby boli potrebné akékoľvek dohody medzi členskými štátmi o poskytovaní vzájomnej pomoci alebo o takejto spolupráci.
(124)
Ak sa spracúvanie osobných údajov uskutočňuje v kontexte činnosti prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ je usadený vo viac ako jednom členskom štáte alebo ak spracúvanie osobných údajov uskutočňujúce sa v kontexte činnosti jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte, by mal dozorný orgán pre hlavnú prevádzkareň prevádzkovateľa alebo sprostredkovateľa alebo pre jedinú prevádzkareň prevádzkovateľa alebo sprostredkovateľa konať ako vedúci orgán. Mal by spolupracovať s inými dotknutými orgánmi, pretože prevádzkovateľ alebo sprostredkovateľ má prevádzkareň na území ich členského štátu, pretože dotknuté osoby s pobytom na ich území sú podstatne ovplyvnené alebo preto, že bola u nich podaná sťažnosť. Rovnako, ak dotknutá osoba bez pobytu v tomto členskom štáte podala sťažnosť, dotknutým dozorným orgánom by mal byť aj dozorný orgán, na ktorom sa sťažnosť podala. V rámci svojej úlohy vydávať usmernenia k akejkoľvek otázke týkajúcej sa uplatňovania tohto nariadenia by mal môcť výbor vydať usmernenia týkajúce sa najmä kritérií, ktoré sa majú zohľadniť s cieľom zistiť, či dané spracúvanie podstatne ovplyvňuje dotknuté osoby vo viac ako jednom členskom štáte, ako aj usmernenia k tomu, čo predstavuje relevantnú a odôvodnenú námietku.
(125)
Vedúci orgán by mal mať právomoc prijímať záväzné rozhodnutia týkajúce sa opatrení, ktorými sa uplatňujú právomoci, ktoré mu boli zverené v súlade s týmto nariadením. Ako vedúci orgán by dozorný orgán mal do procesu rozhodovania úzko zapájať a koordinovať dotknuté dozorné orgány. Rozhodnutie o zamietnutí sťažnosti dotknutej osoby v celku alebo sčasti by mal prijať dozorný orgán, na ktorom sa sťažnosť podala.
(126)
Na rozhodnutí by sa mali spoločne dohodnúť vedúci dozorný orgán a dotknuté dozorné orgány, pričom toto rozhodnutie by malo byť adresované hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa a malo by byť pre prevádzkovateľa a sprostredkovateľa záväzné. Prevádzkovateľ alebo sprostredkovateľ by mali prijať opatrenia potrebné na zabezpečenie súladu s týmto nariadením a vykonania rozhodnutia, ktoré vedúci dozorný orgán oznámil hlavnej prevádzkarni prevádzkovateľa alebo sprostredkovateľa, pokiaľ ide o spracovateľské činnosti v Únii.
(127)
Každý dozorný orgán, ktorý nekoná ako vedúci dozorný orgán, by mal byť príslušný pre vybavovanie miestnych prípadov, pri ktorých sú prevádzkovateľ alebo sprostredkovateľ usadení vo viac ako jednom členskom štáte, ale predmet konkrétneho spracúvania sa týka iba spracúvania v jedinom členskom štáte, ktoré sa vzťahuje iba na dotknuté osoby v tomto jedinom členskom štáte, napríklad keď sa predmet týka spracúvania osobných údajov zamestnancov v špecifickom kontexte zamestnanosti určitého členského štátu. V takých prípadoch by mal dozorný orgán bezodkladne informovať o tejto záležitosti vedúci dozorný orgán. Vedúci dozorný orgán by mal po tom, ako bol informovaný, rozhodnúť, či sa prípadom bude zaoberať podľa ustanovenia o spolupráci medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi (ďalej len „mechanizmus jednotného kontaktného miesta“) alebo či by sa prípadom mal na miestnej úrovni zaoberať dozorný orgán, ktorý ho informoval. Vedúci dozorný orgán by mal pri rozhodovaní o tom, či sa prípadom bude zaoberať, zohľadniť, či má prevádzkovateľ alebo sprostredkovateľ prevádzkareň v členskom štáte dozorného orgánu, ktorý ho informoval, aby sa zabezpečilo účinné vykonanie rozhodnutia voči prevádzkovateľovi alebo sprostredkovateľovi. Ak vedúci dozorný orgán rozhodne, že sa prípadom bude zaoberať, dozorný orgán, ktorý ho informoval, by mal mať možnosť predložiť návrh rozhodnutia, ktorý by mal vedúci dozorný orgán v čo najväčšej miere zohľadniť pri vypracúvaní svojho návrhu rozhodnutia v rámci uvedeného mechanizmu jednotného kontaktného miesta.
(128)
Pravidlá týkajúce sa vedúceho dozorného orgánu a mechanizmus jednotného kontaktného miesta by sa nemali uplatňovať, ak je spracúvanie vykonávané orgánmi verejnej moci alebo súkromnoprávnymi subjektmi vo verejnom záujme. V takýchto prípadoch by jediným dozorným orgánom príslušným na vykonávanie právomocí, ktoré mu boli zverené podľa tohto nariadenia, mal byť dozorný orgán členského štátu, v ktorom je zriadený orgán verejnej moci alebo súkromnoprávny subjekt.
(129)
S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tohto nariadenia v celej Únii by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane právomocí v oblasti vyšetrovania, nápravných opatrení a sankcií a právomocí v oblasti povoľovania a poradenstva, najmä v prípadoch sťažností fyzických osôb, a bez toho, aby boli dotknuté právomoci vyšetrovacích orgánov podľa práva členského štátu, právo upozorniť justičné orgány na porušovanie tohto nariadenia a zúčastniť sa na súdnom konaní. Takéto právomoci by mali tiež zahŕňať právomoc nariadiť dočasné alebo trvalé obmedzenie spracúvania, vrátane zákazu spracúvania. Členské štáty môžu určiť ďalšie úlohy súvisiace s ochranou osobných údajov podľa tohto nariadenia. Právomoci dozorných orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami stanovenými v práve Únie a v práve členského štátu, nestranne, spravodlivo a v primeranej lehote. Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by pre ňu mohlo mať nepriaznivé dôsledky, a nemalo by dotknutým osobám spôsobovať zbytočné náklady a neprimerané ťažkosti. Vyšetrovacie právomoci týkajúce sa prístupu do priestorov, by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v procesnom práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia. Každé právne záväzné opatrenie dozorného orgánu by malo byť v písomnej podobe, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dozorný orgán, ktorý ho vydal, dátum jeho vydania, podpis vedúceho alebo ním povereného člena dozorného orgánu, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy. To by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu. Z prijatia právne záväzného rozhodnutia vyplýva, že môže viesť k súdnemu preskúmaniu v členskom štáte dozorného orgánu, ktorý rozhodnutie prijal.
(130)
Ak dozorný orgán, na ktorom sa podala sťažnosť, nie je vedúcim dozorným orgánom, vedúci dozorný orgán by mal s dozorným orgánom, na ktorom sa podala sťažnosť, úzko spolupracovať v súlade s ustanoveniami o spolupráci a konzistentnosti stanovenými v tomto nariadení. V takých prípadoch by mal vedúci dozorný orgán pri prijímaní opatrení, ktorými sa má zakladať právny účinok, vrátane uloženia správnych pokút, dôsledne zohľadniť názor dozorného orgánu, na ktorom sa podala sťažnosť a ktorý by mal naďalej ostať príslušný vykonať akékoľvek vyšetrovanie na území svojho vlastného členského štátu v spolupráci s príslušným dozorným orgánom.
(131)
Ak by mal iný dozorný orgán konať ako vedúci dozorný orgán pre spracovateľské činnosti prevádzkovateľa alebo sprostredkovateľa, ale konkrétny predmet sťažnosti alebo možné porušenie sa týka iba spracovateľských činností prevádzkovateľa alebo sprostredkovateľa v členskom štáte, v ktorom sa žiadosť podala, alebo prípadného zisteného porušenia a záležitosť podstatne neovplyvňuje alebo pravdepodobne podstatne neovplyvní dotknuté osoby v iných členských štátoch, by sa mal dozorný orgán, na ktorý je podaná sťažnosť alebo ktorý zistí situácie, ktoré zahŕňajú možné porušenie tohto nariadenia, alebo sa o nich inak dozvie, usilovať o urovnanie sporu s prevádzkovateľom zmierom a v prípade neúspechu vykonávať všetky svoje právomoci. To by malo zahŕňať špecifické spracúvanie na území členského štátu dozorného orgánu alebo spracúvanie týkajúce sa dotknutých osôb na území tohto členského štátu; spracúvanie, ktoré sa uskutočňuje v kontexte ponuky tovarov alebo služieb špecificky cielených na dotknuté osoby na území členského štátu dozorného orgánu; alebo spracúvanie, ktoré sa musí posúdiť s ohľadom na relevantné zákonné povinnosti podľa práva členského štátu.
(132)
Činnosti dozorných orgánov zamerané na zvyšovanie povedomia verejnosti by mali zahŕňať špecifické opatrenia zacielené na prevádzkovateľov a sprostredkovateľov vrátane mikropodnikov a malých a stredných podnikov, ako aj na fyzické osoby, predovšetkým v kontexte vzdelávania.
(133)
Dozorné orgány by si mali pri výkone svojich úloh navzájom pomáhať a poskytovať vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia na vnútornom trhu. Dozorný orgán žiadajúci o vzájomnú pomoc môže v prípade, že mu iný dozorný orgán v lehote jedného mesiaca od doručenia žiadosti neodpovie na žiadosť o vzájomnú pomoc, prijať predbežné opatrenie.
(134)
Každý dozorný orgán by sa mal zúčastňovať na spoločných operáciách s inými dozornými orgánmi, keď je to vhodné. Dožiadaný dozorný orgán by mal mať povinnosť odpovedať na žiadosť v rámci vymedzenej časovej lehoty.
(135)
S cieľom zabezpečiť konzistentné uplatňovanie tohto nariadenia v celej Únii by sa mal zriadiť mechanizmus konzistentnosti pre spoluprácu medzi dozornými orgánmi. Uvedený mechanizmus by sa mal uplatňovať najmä vtedy, keď má dozorný orgán v úmysle prijať opatrenie, ktoré má zakladať právne účinky v súvislosti so spracovateľskými operáciami, ktoré podstatne ovplyvňujú značný počet dotknutých osôb vo viacerých členských štátoch. Mal by sa uplatniť aj vtedy, keď niektorý dotknutý dozorný orgán alebo Komisia žiadajú, aby sa takáto záležitosť riešila v rámci mechanizmu konzistentnosti. Uvedeným mechanizmom by nemali byť dotknuté žiadne opatrenia, ktoré by Komisia mohla prijať pri výkone svojich právomocí podľa zmlúv.
(136)
Pri uplatňovaní mechanizmu konzistentnosti by mal výbor v rámci vymedzenej časovej lehoty vydať stanovisko, ak o tom rozhodne väčšina jeho členov alebo ak o to požiada niektorý dotknutý dozorný orgán alebo Komisia. Výbor by mal byť taktiež oprávnený prijímať právne záväzné rozhodnutia v prípade sporov medzi dozornými orgánmi. Na tieto účely by mal v zásade dvojtretinovou väčšinou svojich členov vydať právne záväzné rozhodnutia v jasne vymedzených prípadoch, keď medzi dozornými orgánmi dôjde k rozporu o tom, a to najmä v rámci mechanizmu spolupráce medzi vedúcim dozorným orgánom a dotknutými dozornými orgánmi vo veci samej, najmä či došlo k porušeniu tohto nariadenia.
(137)
Môže sa vyskytnúť naliehavá potreba konať, aby sa ochránili práva a slobody dotknutých osôb, najmä ak existuje nebezpečenstvo, že by uplatňovanie práva dotknutej osoby mohlo byť podstatne sťažené. Dozorný orgán by preto mal na svojom území prijímať náležite odôvodnené predbežné opatrenia s vymedzenou dobou platnosti, ktorá by nemala byť dlhšia ako tri mesiace.
(138)
Uplatňovanie takéhoto mechanizmu by malo byť podmienkou zákonnosti opatrenia dozorného orgánu, ktoré má zakladať právne účinky, v tých prípadoch, keď je jeho uplatňovanie povinné. V iných prípadoch s cezhraničnou pôsobnosťou by sa mal medzi vedúcim dozorným orgánom a dotknutými dozornými orgánmi uplatňovať mechanizmus spolupráce a medzi dotknutými dozornými orgánmi by sa mala vykonávať vzájomná pomoc a spoločné operácie na dvojstrannom alebo viacstrannom základe bez toho, aby sa uvádzal do činnosti mechanizmus konzistentnosti.
(139)
V záujme podpory konzistentného uplatňovania tohto nariadenia by sa mal výbor zriadiť ako nezávislý orgán Únie. Na účely dosahovania svojich cieľov by výbor mal mať právnu subjektivitu. Výbor by mal zastupovať jeho predseda. Mal by nahradiť pracovnú skupinu pre ochranu jednotlivcov so zreteľom na spracúvanie osobných údajov zriadenú smernicou 95/46/ES. Mal by pozostávať z vedúceho predstaviteľa dozorného orgánu každého členského štátu a európskeho dozorného úradníka pre ochranu údajov, alebo ich zástupcov. Komisia by sa mala zúčastňovať na činnosti výboru bez hlasovacích práv a európsky dozorný úradník pre ochranu údajov by mal mať osobitné hlasovacie práva. Výbor by mal prispievať ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii, a to aj poskytovaním poradenstva Komisii, najmä pokiaľ ide o úroveň ochrany v tretích krajinách alebo medzinárodných organizáciách, a podporovaním spolupráce medzi dozornými orgánmi v celej Únii. Výbor by mal pri výkone svojich úloh konať nezávisle.
(140)
Výboru by mal pomáhať sekretariát európskeho dozorného úradníka pre ochranu údajov. Personál európskeho dozorného úradníka pre ochranu údajov, ktorý sa zapája do plnenia úloh uložených týmto nariadením výboru, by mal plniť svoje úlohy výlučne na základe pokynov predsedu výboru a zodpovedať sa výlučne jemu.
(141)
Každá dotknutá osoba by mala mať právo podať sťažnosť na jednom dozornom orgáne, a to predovšetkým v členskom štáte svojho obvyklého pobytu, a mať v súlade s článkom 47 Charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju odmietne, nevyhovie jej alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby. Vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad. Dozorný orgán by mal dotknutú osobu v primeranej lehote informovať o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti. Ak si vec vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie. Na účely uľahčenia podávania sťažností by mal každý dozorný orgán prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné vyplniť aj elektronicky, nevylučujúc pritom iné prostriedky komunikácie.
(142)
Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene na dozornom orgáne, uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo ak je to stanovené v práve členského štátu, uplatnili právo na náhradu škody v mene dotknutých osôb. Členský štát môže stanoviť, aby takýto subjekt, organizácia alebo združenie mali nezávisle od poverenia dotknutej osoby právo podať sťažnosť v tomto členskom štáte a právo na účinný súdny prostriedok nápravy, ak má dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto nariadením. Takémuto subjektu, organizácii alebo združeniu sa nesmie povoliť domáhať sa náhrady škody v mene dotknutej osoby nezávisle od poverenia dotknutej osoby.
(143)
Každá fyzická alebo právnická osoba má právo podať na Súdnom dvore žalobu o vyhlásenie rozhodnutí výboru za neplatné, a to za podmienok stanovených v článku 263 ZFEÚ. Ak majú dotknuté dozorné orgány, ktoré sú adresátmi takýchto rozhodnutí, v úmysle ich napadnúť, môžu podať žalobu v lehote dvoch mesiacov od ich oznámenia v súlade s článkom 263 ZFEÚ. Ak sa rozhodnutia výboru priamo a osobne týkajú prevádzkovateľa, sprostredkovateľa alebo sťažovateľa, môžu proti týmto rozhodnutiam podať žalobu o ich neplatnosť v súlade s článkom 263 ZFEÚ v lehote dvoch mesiacov od uverejnenia týchto rozhodnutí na webovom sídle výboru. Bez toho, aby bolo dotknuté toto právo podľa článku 263 ZFEÚ, každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky. Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností. Právo na účinný prostriedok nápravy však nezahŕňa opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán. Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s procesným právom tohto členského štátu. Tieto súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor. Ak dozorný orgán sťažnosti nevyhovie alebo ju odmietne,
môže sťažovateľ podať žalobu na súdoch v tom istom členskom štáte. V kontexte súdnych prostriedkov nápravy týkajúcich sa uplatňovania tohto nariadenia by mali vnútroštátne súdy, ktoré zvažujú rozhodnutie o otázke, ktorá im umožní vydať rozsudok, môžu alebo v prípade stanovenom v článku 267 ZFEÚ musia podať na Súdny dvor návrh na vydanie prejudiciálneho rozhodnutia v súvislosti s výkladom práva Únie vrátane tohto nariadenia. Okrem toho, ak sa rozhodnutie dozorného orgánu, ktorým sa vykonáva rozhodnutie výboru, napadne na vnútroštátnom súde vrátane jeho platnosti, tento vnútroštátny súd nemá právomoc vyhlásiť rozhodnutie výboru za neplatné, ale vždy keď sa domnieva, že rozhodnutie je neplatné, musí otázku jeho platnosti predložiť Súdnemu dvoru podľa článku 267 ZFEÚ, ako ho vykladá Súdny dvor. Vnútroštátny súd však otázku platnosti rozhodnutia výboru nemôže predložiť Súdnemu dvoru na základe podnetu fyzickej alebo právnickej osoby, ktoré mali možnosť podať žalobu o neplatnosť tohto rozhodnutia, najmä v prípade, ak sa ich rozhodnutie bezprostredne a osobne dotýkalo, ale tak v lehote stanovenej v článku 263 ZFEÚ neurobili.
(144)
Ak má súd, ktorý vedie konanie proti rozhodnutiu dozorného orgánu, dôvod domnievať sa, že konania týkajúce sa toho istého spracúvania, napríklad konania s rovnakým predmetom týkajúcim sa spracúvania rovnakým prevádzkovateľom alebo sprostredkovateľom alebo s rovnakým dôvodom žaloby, sa začali pred príslušným súdom v inom členskom štáte, mal by kontaktovať tento súd s cieľom potvrdiť existenciu takýchto súvisiacich konaní. Ak súvisiace konania prebiehajú na súde iného členského štátu, každý súd, ktorý nezačal konať ako prvý, môže konanie prerušiť alebo sa na žiadosť jedného z účastníkov môže vzdať svojej právomoci v prospech súdu, ktorý začal konať ako prvý, ak tento súd má právomoc rozhodovať v príslušnom konaní a právo jeho štátu pripúšťa spojenie týchto súvisiacich konaní. Konania sa považujú za súvisiace, ak sú navzájom tak úzko spojené, že je vhodné ich spoločne prerokovať a rozhodnúť a vyhnúť sa tak riziku nezlučiteľných rozhodnutí vydaných v samostatných konaniach.
(145)
Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať žalobu na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je orgán verejnej moci členského štátu pri výkone verejnej moci.
(146)
Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením. Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia. Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu. Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia. Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, každý prevádzkovateľ alebo sprostredkovateľ by mal byť zodpovedný za celú škodu. Ak sú však v súlade s právom členského štátu účastníkmi toho istého súdneho konania, náhrada škody sa môže rozdeliť podľa miery zodpovednosti každého prevádzkovateľa alebo sprostredkovateľa za škodu spôsobenú spracúvaním, pokiaľ je zaistená úplná a účinná náhrada pre dotknutú osobu, ktorá utrpela škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.
(147)
Ak toto nariadenie obsahuje osobitné pravidlá o určení právomoci, najmä pokiaľ ide o konania na uplatnenie súdnych prostriedkov nápravy vrátane náhrady škody voči prevádzkovateľovi alebo sprostredkovateľovi, uplatňovanie týchto osobitných pravidiel by nemalo byť dotknuté všeobecnými normami o určení právomoci, ako sú napríklad normy stanovené v nariadení Európskeho parlamentu a Rady (EÚ) č. 1215/2012 (13).
(148)
S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa okrem primeraných opatrení, ktoré ukladá dozorný orgán podľa tohto nariadenia, alebo namiesto nich, mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút. V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie. Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty vrátane účinnej súdnej ochrany a riadneho procesu.
(149)
Členské štáty by mali mať možnosť stanoviť pravidlá týkajúce sa trestných sankcií za porušenia tohto nariadenia vrátane porušenia vnútroštátnych predpisov prijatých podľa tohto nariadenia a v jeho rámci. Uvedené trestné sankcie môžu umožniť aj odňatie príjmov získaných porušením tohto nariadenia. Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor.
(150)
S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty. V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ. Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby. Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery. Uložením správnej pokuty alebo varovaním nie je dotknuté uplatňovanie iných právomocí dozorných orgánov alebo iné sankcie podľa tohto nariadenia.
(151)
Právne systémy Dánska a Estónska neumožňujú ukladanie správnych pokút stanovených v tomto nariadení. Ustanovenia o správnych pokutách sa môžu uplatňovať tak, že v Dánsku pokuty ukladajú príslušné vnútroštátne súdy ako trestnú sankciu a v Estónsku pokutu ukladá dozorný orgán v rámci konania o prečine, za podmienky, že takéto uplatňovanie ustanovení v týchto členských štátoch má rovnocenný účinok ako správne pokuty ukladané dozornými orgánmi. Príslušné vnútroštátne súdy by preto mali zohľadniť odporúčanie dozorného orgánu, ktorý podal návrh na začatie konania o uložení pokuty. Ukladané pokuty by v každom prípade mali byť účinné, primerané a odrádzajúce.
(152)
Členské štáty by mali zaviesť systém, ktorým sa zabezpečia účinné, primerané a odrádzajúce sankcie v prípadoch, keď sa týmto nariadením neharmonizujú správne sankcie alebo, ak je to potrebné aj v iných prípadoch, napríklad v prípade závažného porušenia tohto nariadenia. Povaha týchto sankcií, trestná alebo správna, by sa mala určiť v práve členského štátu.
(153)
V práve členských štátov by sa mali zosúladiť pravidlá týkajúce sa slobody prejavu a práva na informácie vrátane žurnalistickej, akademickej, umeleckej alebo literárnej tvorby s právom na ochranu osobných údajov podľa tohto nariadenia. Spracúvanie osobných údajov výlučne na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby by malo byť predmetom odchýlok alebo výnimiek z určitých ustanovení tohto nariadenia, ak by to bolo potrebné na zosúladenie práva na ochranu osobných údajov s právom na slobodu prejavu a na informácie, ako je stanovené v článku 11 Charty. Malo by sa to vzťahovať najmä na spracúvanie osobných údajov v audiovizuálnej oblasti a v archívoch spravodajstva a tlače. Členské štáty by preto mali prijať legislatívne opatrenia, ktorými sa určia výnimky a odchýlky potrebné na dosiahnutie rovnováhy medzi týmito základnými právami. Členské štáty by mali prijať takéto výnimky a odchýlky týkajúce sa všeobecných zásad, práv dotknutej osoby, prevádzkovateľa a sprostredkovateľa, prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám, nezávislých dozorných orgánov, spolupráce a konzistentnosti a osobitných situácií spracúvania údajov. V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom by malo byť právo členského štátu, ktorému podlieha prevádzkovateľ. S cieľom zohľadniť dôležitosť práva na slobodu prejavu v každej demokratickej spoločnosti je potrebné pojmy súvisiace s touto slobodou, napríklad žurnalistiku, vykladať v širokom zmysle.
(154)
Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom. Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem. Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha. V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia. Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom. Smernica Európskeho parlamentu a Rady 2003/98/ES (14) nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení. Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.
(155)
V práve členského štátu alebo v kolektívnych zmluvách vrátane podnikových kolektívnych zmlúv sa môžu stanoviť konkrétne pravidlá upravujúce spracúvanie osobných údajov zamestnancov v súvislosti so zamestnaním, najmä podmienky, za ktorých sa môžu na základe súhlasu zamestnanca spracúvať osobné údaje v súvislosti so zamestnaním, na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.
(156)
Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto nariadenia. Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti splniť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Členské štáty by mali ustanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. Členské štáty by mali byť oprávnené stanoviť za osobitných podmienok a za primeraných záruk pre dotknuté osoby špecifikácie a výnimky z požiadaviek na informácie a práv na opravu, na vymazanie osobných údajov, na zabudnutie, obmedzenie spracúvania, na prenosnosť údajov a namietať pri spracúvaní osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely. Tieto podmienky a záruky môžu zahŕňať osobitné postupy pre dotknuté osoby na uplatňovanie týchto práv, ak je to vhodné vzhľadom na účely osobitného spracúvania spolu s technickými a organizačnými opatreniami, ktorých cieľom je minimalizovať spracúvanie osobných údajov podľa zásad proporcionality a nevyhnutnosti. Spracúvanie osobných údajov na vedecké účely by malo byť aj v súlade s ďalšími relevantnými právnymi predpismi, napríklad predpismi o klinických skúškach.
(157)
Spojením informácií z registrov môžu výskumní pracovníci získať veľmi hodnotné nové znalosti, pokiaľ ide o celkový zdravotný stav, ako sú srdcovo-cievne ochorenia, rakovina a depresia. Na základe registrov sa hodnota výsledkov výskumu môže zvýšiť, pretože vychádzajú z väčšieho počtu obyvateľov. V spoločenskej vede umožňuje výskum na základe registrov výskumným pracovníkom získavať kľúčové znalosti o dlhodobej vzájomnej súvislosti medzi niektorými sociálnymi podmienkami, napríklad nezamestnanosťou a vzdelaním a inými životnými podmienkami. Výsledky výskumu získané prostredníctvom registrov poskytujú spoľahlivé, vysokokvalitné znalosti, ktoré môžu byť základom pre formuláciu a vykonávanie znalostnej politiky, zlepšiť kvalitu života mnohých ľudí a zvýšiť účinnosť sociálnych služieb. V záujme uľahčenia vedeckého výskumu možno osobné údaje spracúvať na účely vedeckého výskumu za predpokladu primeraných podmienok a záruk stanovených v práve Únie alebo v práve členského štátu.
(158)
Toto nariadenie by sa malo uplatňovať aj na spracúvanie osobných údajov na účely archivácie, berúc pritom do úvahy, že by sa nemalo uplatňovať na zosnulé osoby. Orgány verejnej moci alebo verejnoprávne alebo súkromnoprávne subjekty, ktoré majú záznamy verejného záujmu, by mali byť útvary, ktoré majú podľa práva Únie alebo práva členského štátu zákonnú povinnosť získavať, uchovávať, oceňovať, viesť, opisovať, oznamovať, propagovať a šíriť záznamy trvalej hodnoty pre všeobecný verejný záujem a poskytovať k nim prístup. Členské štáty by okrem toho mali byť oprávnené stanoviť, že osobné údaje možno ďalej spracúvať na účely archivácie, napríklad s cieľom poskytnúť špecifické informácie o politickom správaní počas minulých totalitných štátnych režimov, o genocíde, zločinoch proti ľudskosti, najmä holokauste, alebo vojnových zločinoch.
(159)
Keď sa osobné údaje spracúvajú na účely vedeckého výskumu, malo by sa toto nariadenie uplatňovať aj na takéto spracúvanie. Na účely tohto nariadenia by sa spracúvanie osobných údajov na účely vedeckého výskumu malo vykladať široko, aby zahŕňalo napríklad technický rozvoj a demonštračné činnosti, základný výskum, aplikovaný výskum a výskum financovaný zo súkromných zdrojov. Okrem toho by malo zohľadňovať cieľ Únie stanovený v článku 179 ods. 1 ZFEÚ, ktorým je vytvorenie európskeho výskumného priestoru. Účely vedeckého výskumu by mali zahŕňať aj štúdie uskutočňované vo verejnom záujme v oblasti verejného zdravia. S cieľom zohľadniť osobitosti spracúvania osobných údajov na účely vedeckého výskumu by sa mali uplatňovať osobitné podmienky, najmä pokiaľ ide o zverejňovanie alebo iné poskytovanie osobných údajov v súvislosti s účelmi vedeckého výskumu. Ak je výsledok vedeckého výskumu, najmä v kontexte zdravia, dôvodom na ďalšie opatrenia v záujme dotknutej osoby, mali by sa na tieto opatrenia uplatňovať všeobecné pravidlá tohto nariadenia.
(160)
Keď sa osobné údaje spracúvajú na účely historického výskumu, toto nariadenie by sa malo uplatňovať aj na takéto spracúvanie. Malo by to zahŕňať aj historický výskum a výskum na genealogické účely, berúc do úvahy, že toto nariadenie by sa nemalo uplatňovať na zosnulé osoby.
(161)
Na účely súhlasu s účasťou na vedeckých výskumných činnostiach v rámci klinických štúdií by sa mali uplatňovať príslušné ustanovenia nariadenia Európskeho parlamentu a Rady (EÚ) č. 536/2014 (15).
(162)
Keď sa osobné údaje spracúvajú na štatistické účely, toto nariadenie by sa malo uplatňovať na takéto spracúvanie. Právom Únie alebo právom členského štátu by sa v medziach tohto nariadenia mal stanoviť štatistický obsah, kontrola prístupu, špecifikácie pre spracúvanie osobných údajov na štatistické účely a vhodné opatrenia na ochranu práv a slobôd dotknutej osoby a na zabezpečenie dôvernosti štatistických údajov. Štatistické účely znamenajú akékoľvek operácie získavania a spracúvania osobných údajov potrebné na štatistické zisťovanie alebo tvorbu štatistických výsledkov. Tieto štatistické výsledky sa môžu ďalej využívať na rôzne účely vrátane na účely vedeckého výskumu. Štatistický účel znamená, že výsledky spracúvania na štatistické účely nie sú osobnými údajmi, ale agregovanými údajmi, a teda že sa tento výsledok alebo osobné údaje nepoužijú na vykonanie opatrení alebo rozhodnutí týkajúcich sa akejkoľvek konkrétnej fyzickej osoby.
(163)
Dôverné informácie, ktoré štatistické orgány Únie a členských štátov získavajú na účely tvorby oficiálnych európskych a vnútroštátnych štatistík, by mali byť chránené. Európske štatistiky by sa mali rozvíjať, vytvárať a šíriť v súlade so štatistickými zásadami stanovenými v článku 338 ods. 2 ZFEÚ, pričom vnútroštátne štatistiky by mali byť aj v súlade s právom členského štátu. Ďalšie spresnenia týkajúce sa dôvernosti štatistických údajov pre európske štatistiky sa uvádzajú v nariadení Európskeho parlamentu a Rady (ES) č. 223/2009 (16).
(164)
Pokiaľ ide o právomoc dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do ich prevádzkových priestorov, členské štáty môžu prijať prostredníctvom právnych predpisov a v medziach tohto nariadenia osobitné pravidlá s cieľom zaručiť plnenie povinností týkajúcich sa profesijného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať profesijné tajomstvo. Týmto nie sú dotknuté existujúce povinnosti členských štátov, pokiaľ ide o prijatie noriem o profesijnom tajomstve v prípadoch, v ktorých sa to požaduje v práve Únie.
(165)
V zmysle článku 17 ZFEÚ sa týmto nariadením rešpektuje a zároveň ním nie je dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo spoločenstvá v členských štátoch podľa platného ústavného práva.
(166)
S cieľom splniť ciele tohto nariadenia, a to ochranu základných práv a slobôd fyzických osôb a najmä ich právo na ochranu osobných údajov a zabezpečenie voľného pohybu osobných údajov v rámci Únie by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ. Najmä by sa mali prijať delegované akty týkajúce sa kritérií a požiadaviek vzťahujúcich sa na certifikačné mechanizmy, informácií, ktoré sa majú uvádzať vo forme štandardizovaných ikon, a postupov pri uvádzaní takýchto ikon. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov. Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť, aby sa príslušné dokumenty súčasne, vo vhodnom čase a vhodným spôsobom postúpili Európskemu parlamentu a Rade.
(167)
S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa v prípadoch stanovených v tomto nariadení mali na Komisiu preniesť vykonávacie právomoci. Uvedené právomoci by sa mali vykonávať v súlade s nariadením (EÚ) č. 182/2011. Komisia by v tejto súvislosti mala zvážiť osobitné opatrenia pre mikropodniky a malé a stredné podniky.
(168)
Na prijímanie vykonávacích aktov týkajúcich sa štandardných zmluvných doložiek medzi prevádzkovateľmi a sprostredkovateľmi a medzi sprostredkovateľmi navzájom; kódexov správania; technických noriem a certifikačných mechanizmov; primeranej úrovne ochrany poskytovanej treťou krajinou, územím alebo určeným sektorom v tretej krajine alebo medzinárodnou organizáciou; štandardných ochranných doložiek; formátov a postupov výmeny informácií elektronickými prostriedkami medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá; vzájomnej pomoci; a úpravy výmeny informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi dozornými orgánmi a výborom, by sa mal uplatňovať postup preskúmania.
(169)
Komisia by mala prijať okamžite uplatniteľné vykonávacie akty, ak je z dostupných dôkazov zrejmé, že daná tretia krajina, územie alebo určený sektor v tretej krajine či medzinárodná organizácia nezaručujú primeranú úroveň ochrany, a prijatie takýchto aktov sa vyžaduje z vážnych a naliehavých dôvodov.
(170)
Keďže cieľ tohto nariadenia, a to zabezpečiť rovnocennú úroveň ochrany fyzických osôb a voľný tok osobných údajov v rámci celej Únie, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov rozsahu a dôsledkov činnosti ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii (ZEÚ). V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.
(171)
Smernica 95/46/ES by sa mala týmto nariadením zrušiť. Spracúvanie, ktoré už prebieha v deň začatia uplatňovania tohto nariadenia, by sa malo zosúladiť s týmto nariadením do dvoch rokov odo dňa jeho nadobudnutia účinnosti. Ak sa spracúvanie zakladá na súhlase podľa smernice 95/46/ES, nie je na to, aby prevádzkovateľ mohol pokračovať v tomto spracúvaní po dátume začatia uplatňovania tohto nariadenia potrebné, aby dotknutá osoba opätovne vyjadrila svoj súhlas, pokiaľ je spôsob, akým bol súhlas vyjadrený v súlade s podmienkami tohto nariadenia. Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.
(172)
Európsky dozorný úradník pre ochranu údajov bol konzultovaný v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001 a vydal stanovisko 7. marca 2012 (17).
(173)
Toto nariadenie by sa malo uplatňovať na všetky záležitosti týkajúce sa ochrany základných práv a slobôd pri spracúvaní osobných údajov, ktoré nepodliehajú osobitným povinnostiam s rovnakým cieľom uvedeným v smernici Európskeho parlamentu a Rady 2002/58/ES (18) vrátane povinností prevádzkovateľa a práv fyzických osôb. S cieľom spresniť vzťah medzi týmto nariadením a smernicou 2002/58/ES by sa uvedená smernica mala zodpovedajúcim spôsobom zmeniť. Po prijatí tohto nariadenia by sa mala preskúmať smernica 2002/58/ES, najmä s cieľom zaistiť konzistentnosť s týmto nariadením,
PRIJALI TOTO NARIADENIE: