Pro účely tohoto nařízení se rozumí:
1) „osobními údaji“ veškeré informace o
identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt
údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze
přímo či nepřímo identifikovat, zejména odkazem na určitý
identifikátor, například jméno, identifikační číslo, lokační údaje,
síťový identifikátor nebo na jeden či více zvláštních prvků fyzické,
fyziologické, genetické, psychické, ekonomické, kulturní nebo
společenské identity této fyzické osoby;
2) „zpracováním“ jakákoliv operace nebo
soubor operací s osobními údaji nebo soubory osobních údajů, který je
prováděn pomocí či bez pomoci automatizovaných postupů, jako je
shromáždění, zaznamenání, uspořádání, strukturování, uložení,
přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití,
zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení
či zkombinování, omezení, výmaz nebo zničení;
3) „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
4) „profilováním“ jakákoli forma
automatizovaného zpracování osobních údajů spočívající v jejich použití k
hodnocení některých osobních aspektů vztahujících se k fyzické osobě,
zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního
výkonu, ekonomické situace, zdravotního stavu, osobních preferencí,
zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
5) „pseudonymizací“ zpracování osobních
údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez
použití dodatečných informací, pokud jsou tyto dodatečné informace
uchovávány odděleně a vztahují se na ně technická a organizační
opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či
identifikovatelné fyzické osobě;
6) „evidencí“ jakýkoliv strukturovaný
soubor osobních údajů přístupných podle zvláštních kritérií, ať již je
centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či
zeměpisného hlediska;
7) „správcem“ fyzická nebo právnická
osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo
společně s jinými určuje účely a prostředky zpracování osobních údajů;
jsou-li účely a prostředky tohoto zpracování určeny právem Unie či
členského státu, může toto právo určit dotčeného správce nebo zvláštní
kritéria pro jeho určení;
8) „zpracovatelem“ fyzická nebo právnická
osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává
osobní údaje pro správce;
9) „příjemcem“ fyzická nebo právnická
osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou
osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak
orgány veřejné moci, které mohou získávat osobní údaje v rámci
zvláštního šetření v souladu s právem členského státu, se za příjemce
nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci
musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely
zpracování;
10) „třetí stranou“ fyzická nebo právnická
osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není
subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající
správci nebo zpracovateli, jež je oprávněna ke zpracování osobních
údajů;
11) „souhlasem“ subjektu údajů jakýkoli
svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým
subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení
ke zpracování svých osobních údajů;
12) „porušením zabezpečení osobních údajů“
porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení,
ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění
přenášených, uložených nebo jinak zpracovávaných osobních údajů;
13) „genetickými údaji“ osobní údaje
týkající se zděděných nebo získaných genetických znaků fyzické osoby,
které poskytují jedinečné informace o její fyziologii či zdraví a které
vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
14) „biometrickými údaji“ osobní údaje
vyplývající z konkrétního technického zpracování týkající se fyzických
či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje
nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje
nebo daktyloskopické údaje;
15) „údaji o zdravotním stavu“ osobní údaje
týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů
o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním
stavu;
16) „hlavní provozovnou“:
a) v případě správce s
provozovnami ve více než jednom členském státě místo, kde se nachází
jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech
a prostředcích zpracování osobních údajů přijímána v jiné provozovně
správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění
těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu
považována provozovna, která tato rozhodnutí přijala;
b) v případě zpracovatele s
provozovnami ve více než jednom členském státě místo, kde se nachází
jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou
ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají
hlavní činnosti zpracování v souvislosti s činnostmi provozovny
zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické
povinnosti podle tohoto nařízení;
17) „zástupcem“ jakákoli fyzická nebo
právnická osoba usazená v Unii, která je správcem nebo zpracovatelem
určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele
zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele
ve smyslu tohoto nařízení;
18) „podnikem“ jakákoli fyzická nebo
právnická osoba vykonávající hospodářskou činnost bez ohledu na její
právní formu, včetně osobních společností nebo sdružení, která běžně
vykonávají hospodářskou činnost;
19) „skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;
20) „závaznými podnikovými pravidly“
koncepce ochrany osobních údajů, kterou dodržuje správce nebo
zpracovatel usazený na území členského státu při jednorázových nebo
souborných předáních osobních údajů správci nebo zpracovateli v jedné
nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků
vykonávajících společnou hospodářskou činnost;
21) „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51;
22) „dotčeným dozorovým úřadem“ dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:
a) správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu;
b) subjekty údajů s bydlištěm v
členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou
zpracováním podstatně dotčeny, nebo
c) u něj byla podána stížnost;
23) „přeshraničním zpracováním“ buď:
a) zpracování osobních údajů,
které probíhá v souvislosti s činnostmi provozoven ve více než jednom
členském státě správce či zpracovatele v Unii, je-li tento správce či
zpracovatel usazen ve více než jednom členském státě; nebo
b) zpracování osobních údajů,
které probíhá v souvislosti s činnostmi jediné provozovny správce či
zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně
dotčeny subjekty údajů ve více než jednom členském státě;
24) „relevantní a odůvodněnou námitkou“
námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení
tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem
či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje
významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní
práva a svobody subjektů údajů, případně volný pohyb osobních údajů v
rámci Unie;
25) „službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 (19);
26) „mezinárodní organizací“ organizace a
jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo
jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím
základě.