interactive GDPR 2016/0679 CS

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3)	„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

6)	„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

„správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

8)	„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

10)	„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;

11)	„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

12)	„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

13)	„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

14)	„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

15)	„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

16)

„hlavní provozovnou“:

v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;

v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;

17)	„zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení;

18)	„podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;

19)	„skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

20)

„závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost;

21)	„dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51;

22)

„dotčeným dozorovým úřadem“ dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:

a)	správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu;

b)	subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo

c)	u něj byla podána stížnost;

23)

„přeshraničním zpracováním“ buď:

a)	zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo

b)	zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;

24)

„relevantní a odůvodněnou námitkou“ námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie;

25)	„službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 (19);

26)	„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.

KAPITOLA II

Zásady

Článek 6

Zákonnost zpracování

1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a)	subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b)	zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c)	zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d)	zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e)	zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f)	zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.

3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:

a)	právem Unie nebo

b)	právem členského státu, které se na správce vztahuje.

Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.

4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:

a)	jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;

b)	okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;

c)	povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;

d)	možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;

e)	existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Článek 10

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva Unie nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů. Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.

Článek 12

Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.

2. Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.

3. Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

4. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.

5. Informace podle článků 13 a 14 a veškerá sdělení a veškeré úkony podle článků 15 až 22 a 34 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

a)	uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo

b)	odmítnout žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

6. Aniž je dotčen článek 11, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 15 až 21, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.

7. Informace, které mají být subjektům údajů poskytnuty podle článků 13 a 14, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.

8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem určení informací, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon.

Oddíl 2

Informace a přístup k osobním údajům

Článek 17

Právo na výmaz („právo být zapomenut“)

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a)	osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b)	subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c)	subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;

d)	osobní údaje byly zpracovány protiprávně;

e)	osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;

f)	osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.

2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:

a)	pro výkon práva na svobodu projevu a informace;

b)	pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

c)	z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;

d)	pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

e)	pro určení, výkon nebo obhajobu právních nároků.

Článek 20

Právo na přenositelnost údajů

1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

a)	zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a

b)	zpracování se provádí automatizovaně.

2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.

Oddíl 4

Právo vznést námitku a automatizované individuální rozhodování

Článek 23

Omezení

1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

a)	národní bezpečnost;

obranu;

c)	veřejnou bezpečnost;

d)	prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

e)	jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

f)	ochranu nezávislosti soudnictví a soudních řízení;

g)	prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

h)	monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až e) a g);

i)	ochranu subjektu údajů nebo práv a svobod druhých;

j)	vymáhání občanskoprávních nároků.

2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:

a)	účely zpracování nebo kategorie zpracování;

b)	kategorie osobních údajů;

c)	rozsah zavedených omezení;

d)	záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

e)	specifikaci správců nebo kategorie správců;

f)	doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;

g)	rizika z hlediska práv a svobod subjektů údajů; a

h)	právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.

KAPITOLA IV

Správce a zpracovatel

Oddíl 1

Obecné povinnosti

Článek 27

Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v Unii

1. Pokud se použije čl. 3 odst. 2, správce nebo zpracovatel písemně jmenuje svého zástupce v Unii.

2. Povinnost uvedená v odstavci 1 tohoto článku se nevztahuje na:

zpracování, které je příležitostné, nezahrnuje, ve velkém měřítku, zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10, a u něhož je nepravděpodobné, že by s ohledem na svou povahu, kontext, rozsah a účely představovalo riziko pro práva a svobody fyzických osob; nebo

b)	orgán veřejné moci nebo veřejný subjekt.

3. Zástupce je usazen v jednom z členských států, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami, nebo jejichž chování je monitorováno.

4. Zástupce je správcem nebo zpracovatelem zmocněn v tom smyslu, že se na něj vedle správce nebo zpracovatele nebo místo nich mohou obracet zejména dozorové úřady a subjekty údajů ohledně všech otázek souvisejících se zpracováním za účelem zajištění souladu s tímto nařízením.

5. Tím, že správce nebo zpracovatel jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být zahájeny proti správci nebo zpracovateli samotnému.

Článek 37

Jmenování pověřence pro ochranu osobních údajů

1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:

a)	zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

b)	hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c)	hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

2. Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.

3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.

4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.

5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.

6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.

7. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Článek 40

Kodexy chování

1. Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.

2. Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:

a)	spravedlivé a transparentní zpracování;

b)	oprávněné zájmy, jež správci v konkrétních situacích sledují;

c)	shromažďování osobních údajů;

d)	pseudonymizaci osobních údajů;

e)	informace poskytované veřejnosti a subjektů údajů;

f)	výkon práv subjektů údajů;

g)	informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem;

h)	opatření a postupy uvedené v článcích 24 a 25 a opatření k zajištění bezpečnosti zpracování podle článku 32;

i)	ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů;

j)	předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo

k)	mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů podle článků 77 a 79.

3. Vedle správců a zpracovatelů, na něž se vztahuje toto nařízení vztahuje, mohou kodexy chování schválené podle odstavce 5 tohoto článku a mající všeobecnou platnost podle odstavce 9 tohoto článku dodržovat i správci nebo zpracovatelé, na něž se podle článku 3 toto nařízení nevztahuje, s cílem poskytnout vhodné záruky v rámci předání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. e). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nástrojů nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.

4. Kodex chování uvedený v odstavci 2 tohoto článku obsahuje mechanismy, které umožňují subjektu uvedenému v čl. 41 odst. 1 provádět povinné monitorování dodržování jeho ustanovení správci nebo zpracovateli, kteří se zavázali jej dodržovat, aniž tím jsou dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.

5. Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu ný či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.

6. Je-li kodex chování nebo návrh na úpravu či rozšíření kodexu schválen v souladu s odstavcem 5 a jestliže se kodex chování nevztahuje na činnosti zpracování v několika členských státech, dozorový úřad daný kodex zaregistruje a zveřejní.

7. Pokud se návrh kodexu chování týká činností zpracování v několika členských státech, předloží dozorový úřad příslušný podle článku 55 návrh kodexu nebo návrh na úpravu či rozšíření kodexu před jeho schválením v rámci postupu podle článku 63 sboru a ten vydá stanovisko k tomu, zda je návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením nebo zda v situaci uvedené v odstavci 3 tohoto článku poskytuje vhodné záruky.

8. Pokud se ve stanovisku uvedeném v odstavci 7 potvrdí, že kodex chování nebo návrh na úpravu či rozšíření kodexu je v souladu s tímto nařízením nebo že v situaci uvedené v odstavci 3 poskytují vhodné záruky, předloží sbor své stanovisko Komisi.

9. Komise může prostřednictvím prováděcích aktů rozhodnout, že schválený kodex chování, jeho úprava či rozšíření, které jí byly předloženy podle odstavce 8 tohoto článku, mají všeobecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

10. Komise zajistí odpovídající zveřejnění schválených kodexů, o nichž bylo v souladu s odstavcem 9 rozhodnuto, že mají všeobecnou platnost.

11. Sbor všechny schválené kodexy chování a jejich úpravy či rozšíření shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

Článek 41

Monitorování schválených kodexů chování

1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, může monitorování souladu s kodexem chování podle článku 40 provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem.

2. Subjekt uvedený v odstavci 1 může být akreditován pro monitorování souladu s kodexem chování, pokud tento subjekt:

a)	prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu kodexu;

b)	stanovil postupy, které mu umožňují posoudit způsobilost dotčených správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování;

c)	stanovil postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

d)	ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

3. Příslušný dozorový úřad předloží návrh kritérií pro akreditaci subjektu uvedeného v odstavci 1 tohoto článku sboru podle mechanismu jednotnosti uvedeného v článku 63.

4. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu a aniž je dotčena kapitola VIII, přijme subjekt uvedený v odstavci 1 tohoto článku s výhradou vhodných záruk v případech porušování kodexu správcem nebo zpracovatelem vhodná opatření, včetně pozastavení účasti daného správce nebo zpracovatele na kodexu nebo jeho vyloučení z této účasti. O těchto opatřeních a důvodech jejich přijetí informuje příslušný dozorový úřad.

5. Příslušný dozorový úřad zruší akreditaci subjektu uvedeného v odstavci 1, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace nebo jestliže je činnosti tohoto subjektu v rozporu s tímto nařízením.

6. Tento článek se netýká zpracování prováděného orgány veřejné moci a veřejnými subjekty.

Článek 42

Vydávání osvědčení

1. Členské státy, dozorové úřady, sbor a Komise podpoří, zejména na úrovni Unie, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Zohlední se specifické potřeby mikropodniků a malých a středních podniků.

2. Vedle dodržování správci a zpracovateli, na něž se vztahuje toto nařízení, mohou být mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky schválené podle odstavce 5 tohoto článku zavedeny rovněž za účelem prokázání existence vhodných záruk poskytnutých správci nebo zpracovateli, na něž se podle článku 3 toto nařízení nevztahuje, v rámci předávání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. f). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.

3. Vydávání osvědčení je dobrovolné a dostupné prostřednictvím postupu, který je transparentní.

4. Osvědčením podle tohoto článku se nesnižuje odpovědnost správce nebo zpracovatele za soulad s tímto nařízením a nejsou jím dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.

5. Osvědčení podle tohoto článku vydávají subjekty pro vydávání osvědčení uvedené v článku 43 nebo příslušný dozorový úřad na základě kritérií jím schválených podle čl. 58 odst. 3 nebo schválených sborem podle článku 63. Jsou-li kritéria schválena sborem, může to vést k vydání společného osvědčení, evropské pečeti ochrany údajů.

6 Správce nebo zpracovatel, který předloží své zpracování mechanismu pro vydávání osvědčení, poskytne subjektu pro vydávání osvědčení uvedenému v článku 43 nebo případně příslušnému dozorovému úřadu veškeré informace a přístup ke svým činnostem zpracování, které jsou pro provedení postupu vydávání osvědčení nezbytné.

7. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení podle článku 43 nebo příslušný dozorový úřad uvedené osvědčení odeberou.

8. Sbor všechny mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

Článek 43

Subjekty pro vydávání osvědčení

1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, osvědčení vydává a obnovuje subjekt pro vydávání osvědčení, který má příslušnou úroveň odborných znalostí ohledně ochrany údajů, a to poté, co informoval dozorový úřad s cílem umožnit případně výkon jeho pravomocí podle čl. 58 odst. 2 písm. h). Členské státy zajistí, aby byly tyto subjekty pro vydávání osvědčení akreditovány jedním nebo oběma z následujících orgánů:

a)	dozorovým úřadem, který je příslušný podle článku 55 nebo 56; nebo

b)	vnitrostátním akreditačním orgánem určeným v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 (20), v souladu s normou EN-ISO/IEC 17065/2012 a s dodatečnými požadavky stanovenými dozorovým úřadem, který je příslušný podle článku 55 nebo 56.

2. Subjekt pro vydávání osvědčení uvedený v odstavci 1 je pro tento účel akreditován v souladu s uvedeným odstavcem, pouze pokud:

a)	prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu osvědčení;

b)	se zavázal dodržovat kritéria uvedená v čl. 42 odst. 5 a schválená dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63;

c)	stanovil postupy pro vydávání, pravidelný přezkum a odebírání osvědčení, pečetí a známek dokládajících ochranu údajů;

d)	stanovil postupy a struktury pro řešení stížností týkajících se porušování osvědčení nebo způsobu, jak správce nebo zpracovatel osvědčení uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

e)	ke spokojenosti příslušného dozorového úřadu doložil, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

3. Akreditace subjektů pro vydávání osvědčení uvedených v odstavcích 1 a 2 tohoto článku probíhá na základě kritérií schválených dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63. V případě akreditace podle odst. 1 písm. c) tohoto článku tyto požadavky doplňují požadavky stanovené v nařízení (ES) č. 765/2008 a technická pravidla, která popisují metody a postupy subjektů pro vydávání osvědčení.

4. Subjekty pro vydávání osvědčení uvedené v odstavci 1 jsou odpovědné za řádné posouzení vedoucí k vydání osvědčení nebo k jeho odebrání, aniž je dotčena odpovědnost správce nebo zpracovatele za soulad s tímto nařízením. Akreditace se vydává na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt pro vydávání osvědčení splňuje příslušné požadavky stanovené tímto článkem.

5. Subjekty pro vydávání osvědčení uvedené v odstavci 1 sdělí příslušným dozorovým úřadům důvody pro vydání nebo odebrání požadovaného osvědčení.

6. Požadavky podle odstavce 3 tohoto článku a kritéria podle čl. 42 odst. 5 zveřejní dozorový úřad ve snadno přístupné formě. Dozorové úřady je předají také sboru. Sbor všechny mechanismy pro vydávání osvědčení a pečetě dokládající ochranu údajů shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

7. Aniž je dotčena kapitola VIII, zruší příslušný dozorový úřad nebo vnitrostátní akreditační orgán akreditaci, kterou udělil subjektu pro vydávání osvědčení podle odstavce 1 tohoto článku, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace, nebo kroky tohoto subjektu pro vydávání osvědčení porušují toto nařízení.

8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem upřesnění požadavků, které je třeba zohlednit v souvislosti s mechanismy pro vydávání osvědčení o ochraně údajů podle čl. 42 odst. 1.

9. Komise může přijmout prováděcí akty, kterými stanoví technické normy pro mechanismy vydávání osvědčení a pro pečeti a známky dokládající ochranu údajů a mechanismy pro prosazování a uznávání mechanismů vydávání osvědčení a pečetí a známek dokládajících ochranu údajů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

KAPITOLA V

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

Článek 45

Předání založené na rozhodnutí o odpovídající ochraně

1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.

2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:

právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat souladu s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

c)	mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.

4. Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3 tohoto článku a rozhodnutí přijatých na základě čl. 25 odst. 6 směrnice 95/46/ES.

5. Komise v případě, že to vyplyne z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, rozhodne, že určitá třetí země, určité území nebo konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 93 odst. 3 okamžitě použitelné prováděcí akty.

6. Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.

7. Rozhodnutím podle odstavce 5 tohoto článku není dotčeno předávání osobních údajů do dané třetí země, na určité území nebo jednomu nebo více konkrétním odvětvím v dané třetí zemi nebo dané mezinárodní organizaci podle článků 46 až 49.

8. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.

9. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 3 nebo 5 tohoto článku.

Článek 46

Předávání založené na vhodných zárukách

1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:

a)	právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

b)	závazných podnikových pravidel v souladu s článkem 47;

c)	standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2;

d)	standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí přezkumným postupem podle čl. 93 odst. 2;

e)	schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo

f)	schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.

3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:

a)	smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo

b)	ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

4. Dozorový úřad použije mechanismus jednotnosti v případech uvedených v čl. 63 odst. 3 tohoto článku.

5. Povolení členského státu nebo dozorového úřadu na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je dozorový úřad v případě potřeby změní, nahradí nebo zruší. Rozhodnutí přijatá Komisí na základě čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 2 tohoto článku.

Článek 48

Předání či zveřejnění údajů nepovolená právem Unie

Rozhodnutí soudního orgánu a rozhodnutí správního orgánu třetí země, jež po správci nebo zpracovateli požadují předání nebo zpřístupnění osobních údajů, lze jakýmkoli způsobem uznat nebo vymáhat, pouze pokud vycházejí z mezinárodní dohody, například úmluvy o vzájemné právní pomoci, která je v platnosti mezi žádající třetí zemí a Unií nebo členským státem, aniž jsou dotčeny jiné důvody pro převod podle této kapitoly.

Článek 49

Výjimky pro specifické situace

1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:

a)	daný subjekt údajů byl informován o možných rizicích, která pro něj v důsledku absence rozhodnutí o odpovídající ochraně a vhodných záruk vyplývají, a následně k navrhovanému předání vydal svůj výslovný souhlas;

b)	předání je nezbytné pro splnění smlouvy mezi subjektem údajů a správcem nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů;

c)	předání je nezbytné pro uzavření nebo splnění smlouvy, která byla uzavřena v zájmu subjektu údajů mezi správcem a jinou fyzickou nebo právnickou osobou;

d)	předání je nezbytné z důležitých důvodů veřejného zájmu;

e)	předání je nezbytné pro určení, výkon nebo obhajobu právních nároků;

f)	předání je nezbytné k ochraně životně důležitých zájmů subjektu údajů nebo jiných osob v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit svůj souhlas;

k předání dochází z rejstříku, který je na základě práva Unie nebo členského státu určen pro informování veřejnosti a je přístupný k nahlížení veřejnosti obecně nebo jakékoli osobě, která může prokázat oprávněný zájem, avšak pouze pokud jsou v daném případě splněny podmínky pro nahlížení stanovené právem Unie nebo členského státu.

Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval.

2. Předmětem předání podle odst. 1 prvního pododstavce písm. g) nejsou veškeré osobní údaje nebo veškeré kategorie osobních údajů, které jsou v rejstříku obsaženy. Má-li rejstřík sloužit k nahlížení osobám majícím oprávněný zájem, předání se uskuteční, pouze pokud o to tyto osoby požádají nebo pokud tyto osoby mají být příjemcem.

3. Ustanovení odst. 1 prvního pododstavce písm. a), b) a c) a druhého pododstavce se nevztahují na činnosti prováděné orgány veřejné moci při výkonu jejich úředních pravomocí.

4. Veřejný zájem uvedený v odst. 1 prvním pododstavci písm. d) musí být uznáván právem Unie nebo právem členského státu, které se na správce vztahuje.

5. V případě absence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií osobních údajů do třetí země nebo mezinárodní organizaci. Členské státy ohlásí taková ustanovení Komisi.

6. Správce nebo zpracovatel zaznamená posouzení i vhodné záruky uvedené v odst. 1 druhém pododstavci tohoto článku v záznamech uvedených v článku 30.

Článek 50

Mezinárodní spolupráce v zájmu ochrany osobních údajů

Ve vztahu k třetím zemím a mezinárodním organizacím podniknou Komise a dozorové úřady vhodné kroky v zájmu:

a)	rozvoje mechanismů pro mezinárodní spolupráci, aby se usnadnilo účinné prosazování právních předpisů na ochranu osobních údajů;

b)	poskytování vzájemné pomoci na mezinárodní úrovni při prosazování právních předpisů na ochranu osobních údajů, a to i formou oznamování, postupování stížností, pomoci při vyšetřování a výměny informací, pod podmínkou vhodných záruk ochrany osobních údajů a jiných základních práv a svobod;

c)	zapojení příslušných zúčastněných stran do diskuse a činností zacílených na prohlubování mezinárodní spolupráce při prosazování právních předpisů na ochranu osobních údajů;

d)	podpoření výměny a dokumentace v souvislosti s právními předpisy a praxí v oblasti ochrany osobních údajů, mimo jiné o kompetenčních sporech se třetími zeměmi.

KAPITOLA VI

Nezávislé dozorové úřady

Oddíl 1

Nezávislost postavení

Článek 51

Dozorový úřad

1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen „dozorový úřad“).

2. Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s Komisí v souladu s kapitolou VII.

3. Pokud je v některém členském státě zřízen více než jeden dozorový úřad, určí tento členský stát dozorový úřad, jenž má tyto úřady zastupovat ve sboru, a stanoví mechanismus, který zajistí, že budou ostatní dozorové úřady dodržovat pravidla týkající se mechanismu jednotnosti uvedeného v článku 63.

4. Každý členský stát oznámí Komisi do 25. května 2018 právní ustanovení, která přijme podle této kapitoly, a bez zbytečného odkladu jakékoliv následné změny týkající se těchto ustanovení.

Článek 52

Nezávislost

1. Každý dozorový úřad jedná při plnění úkolů a při výkonu svých pravomocí podle tohoto nařízení zcela nezávisle.

2. Člen či členové každého dozorového úřadu musí být při plnění svých úkolů a výkonu svých pravomocí podle tohoto nařízení i nadále nezávislí na vnějším vlivu, přímém či nepřímém, a od nikoho nesmějí vyžadovat ani přijímat pokyny.

3. Člen či členové každého dozorového úřadu se zdrží jakéhokoli jednání neslučitelného s jejich funkcí a během svého funkčního období nesmějí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

4. Každý členský stát zajistí, aby byl každý dozorový úřad vybaven lidskými, technickými a finančními zdroji, prostorami a infrastrukturou, které bude potřebovat pro účinné plnění svých úkolů a výkon svých pravomocí, včetně úkolů a pravomocí, jež je třeba plnit v rámci vzájemné pomoci, spolupráce a účasti ve sboru.

5. Každý členský stát zajistí, aby každý dozorový úřad vybíral a měl své vlastní zaměstnance, kteří podléhají výlučně řízení členem či členy tohoto dozorového úřadu.

6. Každý členský stát zajistí, aby každý dozorový úřad podléhal finanční kontrole, která neovlivní jeho nezávislost, a aby měl samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.

Článek 54

Pravidla pro zřízení dozorového úřadu

1. Každý členský stát upraví právním předpisem všechny tyto záležitosti:

a)	zřízení každého dozorového úřadu;

b)	kvalifikaci a podmínky způsobilosti požadované pro jmenování členem každého dozorového úřadu;

c)	pravidla a postupy pro jmenování člena nebo členů každého dozorového úřadu;

d)	délku funkčního období člena či členů každého dozorového úřadu, která činí nejméně čtyři roky, s výjimkou prvního jmenování po 24. květnu 2016, kdy někteří členové mohou být jmenováni na dobu kratší, je-li k ochraně nezávislosti dozorového úřadu nutný proces postupného jmenování;

e)	zda a případně na kolik funkčních období mohou být člen či členové každého dozorového úřadu jmenováni opětovně;

f)	podmínky, jimiž se řídí povinnosti člena nebo členů a pracovníků každého dozorového úřadu, zákaz jednání a pracovních činností a využívání výhod neslučitelných s těmito podmínkami během funkčního období a po jeho skončení a pravidla, jimiž se řídí ukončení zaměstnání.

2. Člen či členové a pracovníci každého dozorového úřadu jsou, v souladu s právem Unie nebo členského státu, vázáni během funkčního období i po jeho skončení služebním tajemstvím, pokud jde o veškeré důvěrné informace, o nichž se dozvědí během plnění svých úkolů či výkonu svých pravomocí. Během jejich funkčního období se tato povinnost zachovávat služební tajemství vztahuje zejména na ohlášení porušení tohoto nařízení učiněná fyzickými osobami.

Oddíl 2

Příslušnost, úkoly a pravomoci

Článek 55

Příslušnost

1. Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

2. Pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. V takových případech se nepoužije článek 56.

3. Dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí.

Článek 57

Úkoly

1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

a)	monitoruje a vymáhá uplatňování tohoto nařízení;

b)	zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)	v souladu s právem členského státu poskytuje poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d)	podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

e)	na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

g)	s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

h)	provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

i)	monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

j)	přijímá standardní smluvní doložky uvedené v čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

k)	připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

l)	poskytuje poradenství o operacích zpracování uvedených v čl. 36 odst. 2;

m)	podporuje vypracování kodexů chování podle čl. 40 odst. 1, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky podle čl. 40 odst. 5;

n)	vybízí k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů podle čl. 42 odst. 1 a schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

o)	případně provádí pravidelný přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

p)	navrhuje a zveřejňuje kritéria pro schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

q)	provádí schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

r)	schvaluje smluvní doložky a ustanovení uvedené v čl. 46 odst. 3;

s)	schvaluje závazná podniková pravidla podle článku 47;

t)	přispívá k činnostem sboru;

u)	vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2; a

v)	plní veškeré další úkoly související s ochranou osobních údajů.

2. Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3. Provádění úkolů každého dozorového úřadu je pro subjekty údajů a pro případné pověřence pro ochranu osobních údajů bezplatné.

4. Jestliže jsou požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.

Článek 58

Pravomoci

1. Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

a)	nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů;

b)	provádět vyšetřování formou auditů ochrany údajů;

c)	provádět přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

d)	ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

e)	získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých úkolů;

f)	získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s procesním právem Unie nebo členského státu.

2. Každý dozorový úřad má všechny tyto nápravné pravomoci:

a)	upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení;

b)	udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

c)	nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

d)	nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

e)	nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

f)	uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

g)	nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;

h)	odebrat osvědčení nebo nařídit, aby subjekt pro vydávání osvědčení odebral osvědčení vydané podle článků 42 a 43, nebo aby osvědčení nevydal, pokud požadavky na osvědčení plněny nejsou nebo již přestaly být plněny;

i)	uložit správní pokutu podle článku 83 vedle či namísto opatření uvedených v tomto odstavci, podle okolností každého jednotlivého případu;

j)	nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.

3. Každý dozorový úřad má všechny tyto povolovací a poradní pravomoci:

a)	poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 36;

b)	z vlastního podnětu nebo na požádání vydávat stanoviska určená vnitrostátnímu parlamentu, vládě členského státu nebo v souladu s právem členského státu dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

c)	povolovat zpracování uvedené v čl. 36 odst. 5, pokud právo členského státu takové předchozí povolení vyžaduje;

d)	vydávat stanoviska a schvalovat návrhy kodexů chování podle čl. 40 odst. 5;

e)	akreditovat subjekty pro vydávání osvědčení podle článku 43;

f)	vydávat osvědčení a schvalovat kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

g)	přijímat standardní doložky o ochraně údajů podle čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

h)	povolovat smluvní doložky podle čl. 46 odst. 3 písm. a);

i)	povolovat správní ujednání podle čl. 46 odst. 3 písm. b);

j)	schvalovat závazná podniková pravidla podle článku 47.

4. Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.

5. Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.

6. Každý členský stát může v právních předpisech stanovit, že jeho dozorový úřad má další pravomoci než ty uvedené v odstavcích 1, 2 a 3. Výkon těchto pravomocí nesmí narušit účinné fungování kapitoly VII.

Článek 60

Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady

1. Vedoucí dozorový úřad spolupracuje s ostatními dotčenými dozorovými úřady v souladu s tímto článkem ve snaze dosáhnout konsensu. Vedoucí dozorový úřad a dotčené dozorové úřady si vzájemně vyměňují veškeré relevantní informace.

2. Vedoucí dozorový úřad může kdykoliv požádat další dotčené dozorové úřady o poskytnutí vzájemné pomoci podle článku 61 a může provádět společné postupy podle článku 62, zejména pokud jde o vedení šetření nebo monitorování provádění opatření týkajících se správce či zpracovatele usazených v jiném členském státě.

3. Vedoucí dozorový úřad neprodleně sdělí relevantní informace o dané záležitosti ostatním dotčeným dozorovým úřadům. Neprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska.

4. Pokud ve lhůtě čtyř týdnů kterýkoliv z ostatních dotčených dozorových úřadů poté, co byl v souladu s odstavcem 3 tohoto článku konzultován, vznese k návrhu rozhodnutí relevantní a odůvodněnou námitku, postoupí vedoucí dozorový úřad v případě, že relevantní a odůvodněnou námitku nesdílí nebo ji považuje za irelevantní či nedůvodnou, záležitost k řešení v rámci mechanismu jednotnosti uvedeného v článku 63.

5. Pokud má vedoucí dozorový úřad v úmyslu vznesenou relevantní a odůvodněnou námitku zohlednit, předloží ostatním dotčeným dozorovým úřadům revidovaný návrh rozhodnutí k vyjádření. Tento revidovaný návrh rozhodnutí podléhá postupu uvedenému v odstavci 4 v rámci dvoutýdenní lhůty.

6. Pokud ve lhůtě uvedené v odstavcích 4 a 5 nevznesl žádný z ostatních dotčených dozorových úřadů námitku proti návrhu rozhodnutí předloženému vedoucím dozorovým úřadem, má se za to, že vedoucí dozorový úřad a dotčené dozorové úřady s tímto návrhem rozhodnutí souhlasí a toto rozhodnutí je pro ně závazné.

7. Vedoucí dozorový úřad dané rozhodnutí přijme, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele a o daném rozhodnutí včetně shrnutí relevantních skutečností a důvodů informuje ostatní dotčené dozorové úřady a sbor. Dozorový úřad, u nějž byla podána stížnost, informuje o daném rozhodnutí stěžovatele.

8. Odchylně od odstavce 7, pokud je stížnost odmítnuta nebo zamítnuta, přijme rozhodnutí dozorový úřad, u nějž byla stížnost podána; tento úřad oznámí rozhodnutí stěžovateli a informuje o něm správce.

9. Pokud se vedoucí dozorový úřad a dotčené dozorové úřady shodnou na tom, že určité části stížnosti odmítnou nebo zamítnou a že budou reagovat na jiné části této stížnosti, přijme se pro každou z těchto částí dané věci samostatné rozhodnutí. Vedoucí dozorový úřad přijme rozhodnutí o části týkající se úkonů souvisejících se správcem, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele na území svého členského státu a informuje o něm stěžovatele, zatímco dozorový úřad stěžovatele přijme rozhodnutí o části týkající se odmítnutí či zamítnutí této stížnosti, oznámí je danému stěžovateli a informuje o něm správce nebo zpracovatele.

10. Poté, co mu bylo oznámeno rozhodnutí vedoucího dozorového úřadu podle odstavců 7 a 9, přijme správce nebo zpracovatel opatření nezbytná k zajištění souladu s daným rozhodnutím, pokud jde o činnosti zpracování prováděné v souvislosti se všemi jeho provozovnami v Unii. Správce nebo zpracovatel oznámí opatření přijatá k zajištění souladu s daným rozhodnutí vedoucímu dozorovému úřadu, který o tom informuje ostatní dotčené dozorové úřady.

11. Pokud má za výjimečných okolností dotčený dozorový úřad důvody se domnívat, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, použije se postup pro naléhavé případy podle článku 66.

12. Vedoucí dozorový úřad a ostatní dotčené dozorové úřady si vzájemně poskytují informace požadované podle tohoto článku, a to v elektronické formě za použití standardizovaného formátu.

Článek 61

Vzájemná pomoc

1. Dozorové úřady si vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování tohoto nařízení a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o předchozí povolení a konzultace, inspekce a šetření.

2. Každý dozorový úřad přijme všechna vhodná opatření, která jsou požadována v odpověď na žádost jiného dozorového úřadu, a to bez zbytečného odkladu a nejpozději do jednoho měsíce od obdržení této žádosti. K těmto opatřením může patřit zejména předání relevantních informací o průběhu šetření.

3. Žádost o pomoc musí obsahovat všechny potřebné informace včetně svého účelu a důvodů. Vyměňované informace se použijí pouze pro účely, pro které byly vyžádány.

4. Dožádaný dozorový úřad nesmí odmítnout žádosti vyhovět, ledaže:

a)	není pro předmět žádosti nebo pro opatření, o jejichž výkon je žádán, příslušný; nebo

b)	vyhověním žádosti by došlo k porušení tohoto nařízení nebo práva Unie či členského státu, které se na dožádaný dozorový úřad vztahuje.

5. Dožádaný dozorový úřad informuje žádající dozorový úřad o výsledcích nebo případně o pokroku či opatřeních, jež byla přijata k vyřízení žádosti. Jestliže dožádaný dozorový úřad žádosti nevyhoví na základě odstavce 4, uvede důvody svého rozhodnutí.

6. Dožádané dozorové úřady poskytují informace, které po nich žádají jiné dozorové úřady, zpravidla v elektronické formě za použití standardizovaného formátu.

7. Dožádané dozorové úřady za žádné úkony, které provedou na základě žádosti o vzájemnou pomoc, neúčtují poplatky. Ve výjimečných případech se mohou dozorové úřady dohodnout na pravidlech pro vzájemné odškodnění za zvláštní výdaje vyplývající z poskytnutí vzájemné pomoci.

8. Pokud dozorový úřad neposkytne informace uvedené v odstavci 5 tohoto článku do jednoho měsíce od obdržení žádosti jiného dozorového úřadu, může dožadující dozorový úřad přijmout na území svého členského státu předběžné opatření podle čl. 55 odst. 1. V takovém případě se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou, což vyžaduje přijetí naléhavého závazného rozhodnutí sboru podle čl. 66 odst. 2.

9. Komise může prostřednictvím prováděcích aktů určit formát a postupy pro vzájemnou pomoc podle tohoto článku a může určit, jak má probíhat elektronická výměna informací mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem, zejména pak může určit standardizovaný formát uvedený v odstavci 6 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

Článek 62

Společné postupy dozorových úřadů

1. Dozorové úřady podle potřeby provádějí společné postupy, včetně společných šetření a společných donucovacích opatření, do nichž jsou zapojeni členové nebo pracovníci dozorových úřadů z jiných členských států.

2. Pokud má správce nebo zpracovatel provozovny v několika členských státech, nebo pokud je pravděpodobné, že operacemi zpracování bude podstatně dotčen významný počet subjektů údajů ve více než jednom členském státě, má dozorový úřad každého z těchto členských států právo účastnit se společných postupů. Dozorový úřad příslušný podle čl. 56 odst. 1 nebo 4 vyzve dozorový úřad každého z těchto členských států k účasti na těchto společných postupech a na žádost některého dozorového úřadu o účast bez odkladu odpoví.

3. Dozorový úřad může v souladu s právem členského státu a s povolením vysílajícího dozorového úřadu svěřovat pravomoci včetně vyšetřovacích pravomocí členům nebo pracovníkům vysílajícího dozorového úřadu zapojeným do společných postupů, nebo pokud to umožňuje právo členského státu hostitelského dozorového úřadu, povolit členům nebo pracovníkům vysílajícího dozorového úřadu, aby vykonávali své vyšetřovací pravomoci v souladu s právem členského státu vysílajícího dozorového úřadu. Tyto vyšetřovací pravomoci mohou být vykonávány pouze pod vedením a za přítomnosti členů nebo pracovníků hostitelského dozorového úřadu. Na členy nebo pracovníky vysílajícího dozorového úřadu se vztahuje právo členského státu hostitelského dozorového úřadu.

4. Pokud pracovníci vysílajícího dozorového úřadu působí v souladu s odstavcem 1 v jiném členském státě, přijímá členský stát hostitelského dozorového úřadu odpovědnost za jejich jednání, včetně odpovědnosti za škody, které tito pracovníci během svých úkonů způsobí, v souladu s právem členského státu, na jehož území působí.

5. Členský stát, na jehož území byla škoda způsobena, nahradí tuto škodu za stejných podmínek, jaké se vztahují na škody způsobené jeho vlastními pracovníky. Členský stát vysílajícího dozorového úřadu, jehož pracovníci způsobí škodu jakékoli osobě na území jiného členského státu, nahradí tomuto jinému členskému státu v plné výši částky, které tento stát jménem dotčených pracovníků vyplatil oprávněným osobám.

6. V případě uvedeném v odstavci 1 a s výjimkou odstavce 5 se každý členský stát zřekne požadavků vůči jinému členskému státu na náhradu škody uvedené v odstavci 4, aniž jsou dotčena jeho práva vůči třetím stranám.

7. Jestliže je plánován společný postup a některý dozorový úřad nesplní do jednoho měsíce povinnost stanovenou v odst. 2 tohoto článku druhé větě, mohou ostatní dozorové úřady přijmout na území svého členského státu v souladu s článkem 55 předběžné opatření. V takovém případě se nutnost naléhavě jednat podle čl. 66 odst. 1 považuje za splněnou, což vyžaduje přijetí naléhavého stanoviska nebo naléhavého závazného rozhodnutí sboru podle čl. 66 odst. 2.

Oddíl 2

Jednotnost

Článek 79

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.

Článek 83

Obecné podmínky pro ukládání správních pokut

1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

a)	povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)	zda k porušení došlo úmyslně nebo z nedbalosti;

c)	kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů;

d)	míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;

e)	veškerá relevantní předchozí porušení správcem či zpracovatelem;

f)	míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

g)	kategorie osobních údajů dotčené daným porušením;

h)	způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře;

i)	v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření;

j)	dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 a

k)	jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

a)	povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43;

b)	povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43;

c)	povinnosti subjektu pro vydávání osvědčení podle čl. 41 odst. 4.

5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

a)	základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;

b)	práva subjektů údajů podle článků 12 až 22;

c)	předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49;

d)	jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX;

e)	nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.

6. Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.

7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.

8. Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.

9. Neumožňuje-li právo členského státu uložení správních pokut, může se použít tento článek tak, aby podnět k uložení pokuty dal příslušný dozorový úřad a aby pokuta byla uložena příslušnými vnitrostátními soudy, a současně je třeba zajistit, aby tyto prostředky právní ochrany byly účinné a aby jejich účinek byl rovnocenný se správními pokutami, jež ukládají dozorové úřady. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Tyto členské státy oznámí Komisi do 25. května 2018 příslušná ustanovení svých právních předpisů, která přijmou podle tohoto odstavce, a bez prodlení jakékoliv následné novely nebo změny týkající se těchto ustanovení.

Článek 86

Zpracování a přístup veřejnosti k úředním dokumentům

Osobní údaje v úředních dokumentech, které jsou v držení orgánu veřejné moci či veřejného nebo soukromého subjektu za účelem plnění úkolu ve veřejném zájmu, může tento orgán či subjekt zpřístupnit v souladu s právem Unie nebo členského státu, kterému podléhá, aby tak zajistil soulad mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů podle tohoto nařízení.

Článek 90

Povinnost mlčenlivosti

1. Je-li to nutné a přiměřené pro soulad práva na ochranu osobních údajů s povinností mlčenlivosti, mohou členské státy přijmout zvláštní pravidla, aby stanovily pravomoci dozorových úřadů podle čl. 58 odst. 1 písm. e) a f) ve vztahu ke správcům nebo zpracovatelům, jež podle práva Unie nebo členského státu anebo pravidel stanovených příslušnými orgány členských států podléhají povinnosti zachovávat služební tajemství nebo jiným rovnocenným povinnostem mlčenlivosti. Tato pravidla platí pouze ve vztahu k osobním údajům, které správce nebo zpracovatel obdržel nebo získal při činnosti podléhající této povinnosti mlčenlivosti.

2. Každý členský stát oznámí Komisi do 25. května 2018 pravidla, která přijme podle odstavce 1, a bez odkladu jakékoliv následné změny týkající se těchto ustanovení.

Článek 91

Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

1. Jestliže církve a náboženská sdružení nebo společenství v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují komplexní pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením.

2. Na církve a náboženská sdružení uplatňující komplexní pravidla v souladu s odstavcem 1 tohoto článku dohlíží nezávislý dozorový úřad, který může být zvláštní, za předpokladu, že splňuje podmínky stanovené v kapitole VI.

KAPITOLA X

Akty v přenesené pravomoci a prováděcí akty

Článek 92

Výkon přenesené pravomoci

1. Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.

2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 12 odst. 8 a čl. 43 odst. 8 je svěřena Komisi na dobu neurčitou počínaje dnem 24. května 2016.

3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 12 odst. 8 a čl. 43 odst. 8 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

5. Akt v přenesené pravomoci přijatý podle čl. 12 odst. 8 a čl. 43 odst. 8 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.

whereas

(6) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů.
Rozsah shromažďování a sdílení osobních údajů významně vzrostl.
Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu.
Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku.
Technologie změnily ekonomiku i společenský život a měly by dále usnadňovat volný pohyb osobních údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů.

- = -

(7) Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu.
Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje.
Měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci.

- = -

(9) Ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránilo to roztříštěnosti v provádění ochrany údajů v celé Unii, právní nejistotě ani rozšířenému pocitu veřejnosti, že v souvislosti s ochranou fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online.
Rozdíly v úrovni ochrany práv a svobod fyzických osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie.
Tyto rozdíly proto mohou být překážkou pro výkon hospodářských činností na úrovni Unie, mohou narušovat hospodářskou soutěž a bránit orgánům veřejné moci ve výkonu povinností, které jim ukládají právní předpisy Unie.
Tato rozdílná úroveň ochrany je způsobena rozdíly v provádění a uplatňování směrnice 95/46/ES.

- = -

(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech.
V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů.
Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení.
Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení.
Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů („citlivé osobní údaje“).
V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.

- = -

(11) Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech.

- = -

(19) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie.
Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely.
Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 (7). Členské státy mohou pověřit příslušné orgány ve smyslu směrnice (EU) 2016/680 i úkoly, které nemusí být nutně prováděny za účelem předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do působnosti práva Unie, spadalo do oblasti působnosti tohoto nařízení.

- = -

(28) Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů.
Výslovné zavedení „pseudonymizace“ v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.

- = -

(31) Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí.
Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

- = -

(35) Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů.
To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (9), číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

- = -

(37) Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci prosazovat pravidla týkající se ochrany osobních údajů.
Podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, by měl být společně s těmito podniky považován za skupinu podniků.

- = -

(43) S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně.
Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.

- = -

(45) Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu.
Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování.
Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující.
Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování.
Toto právo by dále mohlo upřesnit obecné podmínky nařízení, kterými se řídí zákonnost zpracování osobních údajů, stanovit podrobnosti týkající se určení správce, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje sdělit, účelového omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování.
Právo Unie nebo členského státu by rovněž mělo stanovit, zda by správcem plnícím úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být orgán veřejné moci nebo jiná veřejnoprávní právnická osoba, nebo pokud je to odůvodněno veřejným zájmem, včetně oblasti zdraví, jako je veřejné zdraví a sociální ochrana a řízení zdravotnických služeb, fyzická osoba či soukromoprávní právnická osoba, například profesní sdružení.

- = -

(47) Oprávněné zájmy správce, včetně správce, jemuž mohou být osobní údaje poskytnuty, nebo třetí strany se mohou stát právním základem zpracování za předpokladu, že nepřevažují zájmy nebo základní práva a svobody subjektu údajů, a to při zohlednění přiměřeného očekávání subjektu údajů na základě jeho vztahu se správcem.
Tento oprávněný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby.
Existenci oprávněného zájmu je v každém případě třeba pečlivě posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít.
Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování důvodně neočekává.
Jelikož právní základ pro zpracování osobních údajů orgány veřejné moci má upravit zákonodárce právním předpisem, neměl by se tento právní základ vztahovat na zpracování prováděné orgány veřejné moci při plnění jejich úkolů.
Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům.
Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.

- = -

(49) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítě a informací, to jest schopnosti sítě nebo informačního systému odolávat na dané úrovni spolehlivosti, náhodným událostem nebo protiprávnímu či zlovolnému jednání ohrožujícímu dostupnost, pravost, správnost a důvěrnost uložených či předávaných osobních údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů, které provádějí orgány veřejné moci, skupiny pro reakci na počítačové hrozby (CERT), skupiny pro reakci na incidenty v oblasti počítačové bezpečnosti (CSIRT), poskytovatelé elektronických komunikačních sítí a služeb a poskytovatelé bezpečnostních technologií a služeb, představuje oprávněný zájem dotčeného správce údajů.
Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací.

- = -

(50) Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny.
V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů.
Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie nebo členského státu určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné.
Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování.
Právní základ pro zpracování osobních údajů podle práva Unie nebo členského státu může rovněž posloužit jako právní základ pro další zpracování.
S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

- = -

(51) Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody.
Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras.
Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby.
Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce.
Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování.
Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

- = -

(55) Zpracování osobních údajů orgány veřejné moci za účelem dosažení cílů úředně uznaných náboženských sdružení, které jsou stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z důvodů veřejného zájmu.

- = -

(63) Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.
Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.
Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům.
Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení.
Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací.
Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

- = -

(65) Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje.
Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů.
Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit.
Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě.
Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

- = -

(68) Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci.
Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů.
Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy.
Nemělo by se uplatňovat v případě, kdy je zpracování založeno na jiném právním důvodu, než je souhlas nebo smlouva.
Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci.
Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování.
Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.
Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění.
Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému.

- = -

(69) Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace.
Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.

- = -

(80) Pokud správce nebo zpracovatel, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které se nacházejí v Unii, a tyto činnosti zpracování souvisejí s nabídkou zboží nebo služeb takovým subjektům údajů v Unii bez ohledu na to, zda je vyžadována platba subjektu údajů, nebo souvisejí s monitorováním jejich chování v rozsahu, v němž k tomuto chování dochází v Unii, měl by daný správce nebo zpracovatel jmenovat svého zástupce, ledaže by dotčené zpracování bylo příležitostné, nezahrnovalo by rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů a bylo by nepravděpodobné, že by s ohledem na svou povahu, souvislosti, rozsah a účely mohlo toto zpracování představovat riziko pro práva a svobody fyzických osob, nebo ledaže by správce byl orgánem veřejné moci nebo veřejným subjektem.
Zástupce by měl jednat jménem správce nebo zpracovatele a může se něj obracet kterýkoliv dozorový úřad.
Zástupce by měl být výslovně jmenován na základě písemného zmocnění správcem nebo zpracovatelem, aby jednal jejich jménem v souvislosti s povinnostmi správce nebo zpracovatele stanovenými tímto nařízením.
Jmenováním tohoto zástupce není dotčena odpovědnost správce nebo zpracovatele podle tohoto nařízení.
Zástupce by měl vykonávat své úkoly podle zmocnění uděleného správcem nebo zpracovatelem, mimo jiné by měl spolupracovat s příslušnými dozorovými úřady při jakémkoliv úkonu prováděném s cílem zajistit soulad s tímto nařízením.
Vůči jmenovanému zástupci by se v případě neplnění povinností správcem nebo zpracovatelem mělo uplatnit vymáhací řízení.

- = -

(92) Za určitých okolností může být přiměřené a účelné, aby byl předmět posouzení vlivu na ochranu osobních údajů širší a nevztahoval se pouze na jeden projekt, například když orgány veřejné moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo platformu zpracování, nebo když několik správců hodlá zavést společnou aplikaci nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý segment nebo pro široce užívanou horizontální činnost.

- = -

(93) V souvislosti s přijetím právního předpisu členského státu, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který danou operaci nebo soubor operací zpracování upravuje, mohou členské státy považovat za nutné provést výše uvedené posouzení před činnostmi zpracování.

- = -

(94) Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat s dozorovým úřadem.
Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby.
Dozorový úřad by měl na žádost o konzultaci reagovat ve stanovené lhůtě.
Skutečností, že dozorový úřad v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah tohoto úřadu prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování.
V rámci tohoto procesu konzultací může být výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, předložen dozorovému úřadu, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

- = -

(97) Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů.
V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost.
Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.
Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.

- = -

(108) Nebude-li přijato rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky.
Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých dozorovým úřadem nebo smluvních doložek jím schválených.
Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi.
Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů.
Předání mohou provést rovněž orgány veřejné moci nebo veřejné subjekty s orgány veřejné moci nebo veřejný subjekty ve třetích zemích nebo s mezinárodními organizacemi s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů.
Povolení příslušného dozorového úřadu by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.

- = -

(115) Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování fyzickými a právnickými osobami spadající do pravomoci členských států.
Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na platných mezinárodních dohodách, jako je například smlouva o vzájemné právní pomoci, mezi danou třetí zemí a Unií nebo členským státem.
Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zajištění ochrany fyzických osob zajištěné v Unii tímto nařízením.
Předání údajů by mělo být povoleno jen tehdy, jsou-li splněny podmínky předání údajů do třetích zemí stanovené v tomto nařízení.
Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie nebo členského státu, které se na správce vztahuje.

- = -

(116) Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů.
Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu.
Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje.
Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací a provádění šetření ve spolupráci s příslušnými mezinárodními partnery.
Pro účely vypracování mechanismů mezinárodní spolupráce s cílem usnadnit a poskytovat vzájemnou mezinárodní pomoc při prosazování právních předpisů na ochranu osobních údajů by si Komise a dozorové úřady měly při činnostech souvisejících s výkonem svých pravomocí vyměňovat informace a spolupracovat s příslušnými orgány ve třetích zemích, na základě vzájemnosti a v souladu s tímto nařízením.

- = -

(117) je Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání.

- = -

(122) Každý dozorový úřad by měl být na území svého vlastního členského státu příslušný k výkonu pravomocí a plnění úkolů, které mu byly svěřeny v souladu s tímto nařízením.
To by se mělo týkat zejména zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele na území jejich vlastního členského státu, zpracování osobních údajů prováděného orgány veřejné moci nebo soukromými subjekty jednajícími ve veřejném zájmu, zpracování dotýkajícího se subjektů údajů na jeho území nebo zpracování prováděného správcem či zpracovatelem, který není usazen v Unii, v případě zacílení na subjekty údajů mající bydliště na jeho území.
To by dále mělo zahrnovat vyřizování stížností podaných subjekty údajů, provádění šetření ohledně uplatňování tohoto nařízení a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech, pokud jde o zpracování osobních údajů.

- = -

(123) Dozorové úřady by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu.
Za tímto účelem by dozorové úřady měly spolupracovat mezi sebou a s Komisí, aniž by byla zapotřebí jakákoliv dohoda mezi členskými státy o poskytování vzájemné pomoci nebo o takové spolupráci.

- = -

(125) Vedoucí dozorový úřad by měl být příslušný k přijímání závazných rozhodnutí o opatřeních, aby tak uplatnil pravomoci, které svěřuje toto nařízení.
Ve své funkci vedoucího dozorového úřadu by měl do rozhodovacího procesu úzce zapojit dotčené dozorové úřady a jejich činnost koordinovat.
Pokud se rozhodne o zamítnutí stížnosti subjektu údajů zcela či částečně, měl by toto rozhodnutí přijmout dozorový úřad, u nějž byla stížnost podána.

- = -

(128) Pravidla týkající se vedoucího dozorového úřadu a mechanismu jediného kontaktního místa by se neměla vztahovat na případy, kdy zpracování provádějí orgány veřejné moci nebo soukromé subjekty ve veřejném zájmu.
V takových případech by jediným dozorovým úřadem příslušným k výkonu pravomocí, které mu byly svěřeny podle tohoto nařízení, měl být dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen.

- = -

(129) Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud.
Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Členské státy mohou vymezit další úkoly související s ochranou osobních údajů podle tohoto nařízení.
Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými v právu Unie a členského státu, nestranně, spravedlivě a v přiměřených lhůtách.
Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže.
Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky procesního práva členského státu, jako je například požadavek obstarat si předem soudní povolení.
Každé právně závazné opatření dozorového úřadu by mělo mít písemnou formu, být jasné a jednoznačné, uvádět dozorový úřad, který je vydal, a datum svého vydání, mělo by být opatřeno podpisem vedoucího či vedoucím zmocněného člena dozorového úřadu a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.
Tím by však neměly být vyloučeny další požadavky podle procesního práva členského státu.
Přijetí právně závazného rozhodnutí znamená, že může dojít k soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.

- = -

(145) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci členského státu, který jedná v rámci výkonu veřejné moci.

- = -

(146) Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel.
Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost.
Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení.
Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu.
Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení.
Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly.
Jsou-li správci nebo zpracovatelé zapojeni do téhož zpracování, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou újmu.
Jsou-li však tito správci nebo zpracovatelé v souladu s právem členského státu spojeni v tomtéž řízení, může být náhrada újmy rozvržena podle odpovědnosti každého správce nebo zpracovatele za újmu způsobenou zpracováním, za podmínky, že je zajištěno úplné a účinné odškodnění subjektu údajů, jenž újmu utrpěl.
Kterýkoli správce nebo zpracovatel, který uhradil plnou náhradu újmy, může následně zahájit soudní řízení proti jiným správcům nebo zpracovatelům zapojeným do téhož zpracování.

- = -

(150) Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý dozorový úřad mít pravomoc uložit správní pokuty.
V tomto nařízení by měly být uvedeny porušení a maximální hranice a kritéria pro stanovení souvisejících správních pokut, jež by měl v každém jednotlivém případě určit příslušný dozorový úřad při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím zejména k povaze, závažnosti a době trvání tohoto porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení.
Pro účely uložení správních pokut podniku by měl být podnik chápán ve smyslu článků 101 a 102 Smlouvy o fungování EU.
Jsou-li správní pokuty uloženy osobám, které nejsou podnikem, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby.
K prosazování důsledného uplatňování správních pokut je možné využít rovněž mechanismus jednotnosti.
Zda a do jaké míry by se měly správní pokuty vztahovat na orgány veřejné moci, by měl určit členský stát.
Uložení správní pokuty nebo varování nemá vliv na uplatňování dalších pravomocí dozorových úřadů nebo dalších sankcí podle tohoto nařízení.

- = -

(154) Toto nařízení umožňuje, aby při jeho provádění byla zohledněna zásada přístupu veřejnosti k úředním dokumentům.
Lze mít za to, že přístup veřejnosti k úředním dokumentům je ve veřejném zájmu.
Orgán veřejné moci nebo veřejný subjekt by měl mít možnost zpřístupnit veřejnosti osobní údaje v dokumentech, které jsou v jeho držení, pokud je toto zpřístupnění stanoveno právem Unie nebo členského státu, které se na tento orgán nebo subjekt vztahuje.
Tyto právní předpisy by měly zajišťovat soulad přístupu veřejnosti k úředním dokumentům a opakovaného použití informací veřejného sektoru s právem na ochranu osobních údajů, a mohou proto stanovit nezbytné zajištění souladu s právem na ochranu osobních údajů podle tohoto nařízení.
Odkaz na orgány veřejné moci a veřejné subjekty by v tomto kontextu měl zahrnovat všechny orgány nebo jiné subjekty, na něž se vztahuje právo členského státu v oblasti přístupu veřejnosti k dokumentům.
Směrnice Evropského parlamentu a Rady 2003/98/ES (14) ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle práva Unie a členských států, a zejména nemění povinnosti a práva podle tohoto nařízení.
Uvedená směrnice by se zejména neměla vztahovat na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a na části dokumentů přístupné podle těchto režimů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu fyzických osob v souvislosti se zpracováním osobních údajů.

- = -

(158) Toto nařízení by se mělo vztahovat i na případy zpracování osobních údajů pro účely archivace, přičemž je třeba mít na paměti, že by se nemělo vztahovat na osobní údaje zesnulých osob.
Orgány veřejné moci či veřejné nebo soukromé subjekty, které mají v držení záznamy veřejného zájmu, by měly být útvary, které mají na základě práva Unie nebo členského státu právní povinnost získávat, uchovávat, posuzovat, uspořádat, popisovat, sdělovat, podporovat a šířit záznamy trvalé hodnoty pro obecný veřejný zájem a poskytovat k nim přístup. Členské státy by rovněž měly mít možnost stanovit, že osobní údaje mohou být dále zpracovávány pro účely archivace, například s cílem poskytnout konkrétní informace související s politickým chováním za bývalých totalitních režimů, s genocidou, zločiny proti lidskosti, zejména holokaustem, nebo válečnými zločiny.

- = -

(164) Pokud jde o pravomoci dozorových úřadů získat od správce nebo zpracovatele přístup k osobním údajům a přístup do jejich prostor, mohou členské státy v mezích tohoto nařízení právním předpisem přijmout zvláštní pravidla pro zajištění povinnosti zachovávat služební nebo jiné rovnocenné tajemství, pokud je to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s povinností zachovávat služební tajemství.
Nejsou tím dotčeny stávající povinnosti členských států přijmout pravidla o uplatňování služebního tajemství tam, kde to vyžadují právní předpisy Unie.

- = -

(166) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU.
Akty v přenesené pravomoci by měly být přijímány především s ohledem na kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, informace, které mají být poskytovány pomocí standardizovaných ikon a postupy pro prezentaci takových ikon.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.

- = -

(167) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením.
Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.
Komise by v této souvislosti měla zvážit zvláštní opatření, pokud jde o mikropodniky a malé a střední podniky.

- = -

dal 2004 diritto e informatica