interactive GDPR 2016/0679 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- whereas (7) 1
- whereas (10) 1
- whereas (14) 1
- whereas (15) 2
- whereas (20) 1
- whereas (29) 1
- whereas (31) 3
- whereas (36) 3
- whereas (37) 1
- whereas (38) 1
- whereas (39) 1
- whereas (52) 1
- whereas (57) 1
- whereas (59) 1
- whereas (63) 1
- whereas (65) 1
- whereas (67) 1
- whereas (68) 1
- whereas (73) 1
- whereas (74) 2
- whereas (83) 2
- whereas (84) 1
- whereas (86) 2
- whereas (89) 1
- whereas (97) 2
- whereas (101) 1
- whereas (103) 2
- whereas (104) 5
- whereas (105) 2
- whereas (106) 4
- whereas (107) 2
- whereas (109) 1
- whereas (111) 2
- whereas (113) 2
- whereas (118) 1
- whereas (128) 1
- whereas (129) 1
- whereas (135) 1
- whereas (137) 1
- whereas (139) 1
- whereas (143) 2
- whereas (148) 1
- whereas (152) 1
- whereas (154) 1
- whereas (159) 1
- whereas (161) 1
- whereas (166) 2
- whereas (167) 1
- whereas (169) 1
- whereas (171) 2
- whereas (173) 2
- údajů 4
- evropský 4
- sboru 3
- tohoto 3
- právo 3
- inspektor 2
- státu 2
- předseda 2
- ochrany 2
- hlasovací 2
- sbor 2
- zástupce 2
- nařízení 2
- členského 2
- unie 2
- ochranu 2
- osobních 2
- sbor 2
- měla 1
- aniž 1
- v podstatě 1
- jmenuje 1
- svého 1
- společný 1
- komise 1
- odpovídají 1
- činností 1
- účastnit 1
- schůzek 1
- informuje 1
- požadavkům 1
- komise 1
- komisi 1
- zásad 1
- týkající 1
- rozhodnutí 1
- a pravidel 1
- a jiné 1
- orgány 1
- použitelných 1
- pouze 1
- článku 1
- v případech 1
- činnostech 1
- uvedených 1
- jež 1
- jmenován 1
- subjekty 1
- instituce 1
- odpovědný 1
Článek 68
Evropský sbor pro ochranu osobních údajů
1. Zřizuje se Evropský sbor pro ochranu osobních údajů (dále jen „sbor“) jako subjekt Unie s právní subjektivitou.
2. Sbor zastupuje jeho předseda.
3. Sbor tvoří vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů nebo jejich zástupci.
4. Pokud je v některém členském státě za monitorování toho, zda jsou uplatňována ustanovení tohoto nařízení, odpovědný více než jeden dozorový úřad, je v souladu s právem tohoto členského státu jmenován společný zástupce.
5. Komise má právo účastnit se činností a schůzek sboru, aniž by měla hlasovací právo. Komise jmenuje svého zástupce. Předseda sboru informuje Komisi o činnostech sboru.
6. V případech uvedených v článku 65 má evropský inspektor ochrany údajů hlasovací právo pouze pro rozhodnutí týkající se zásad a pravidel použitelných pro orgány, instituce a jiné subjekty Unie, jež v podstatě odpovídají požadavkům tohoto nařízení.
whereas
(7) Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu.
Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje.
měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci.
(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech.
V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů.
Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení.
Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení.
Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů („citlivé osobní údaje“).
V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.
(14) Ochrana poskytovaná tímto nařízením by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště.
Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.
(15) S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích.
Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy.
Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.
(20) Toto nařízení se mimo jiné vztahuje na činnost soudů a dalších justičních orgánů, a proto by právo Unie nebo členského státu mohlo stanovit operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány.
Pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování.
Dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu, které by zejména měly zajistit soulad s pravidly tohoto nařízení, posilovat povědomí členů justičních orgánů o jejich povinnostech podle tohoto nařízení a zabývat se stížnostmi souvisejícími s takovými operacemi zpracování.
(29) S cílem vytvořit pobídky pro uplatňování pseudonymizace při zpracování osobních údajů by opatření pseudonymizace při současném umožnění obecné analýzy měla být možná v rámci téhož správce, pokud tento správce přijal technická a organizační opatření nezbytná k zajištění toho, aby bylo v případě daného zpracování provedeno toto nařízení a aby doplňkové informace pro přiřazení osobních údajů konkrétnímu subjektu údajů byly uchovány samostatně.
Správce, který zpracovává osobní údaje, by rovněž měl označit oprávněné osoby v rámci téhož správce.
(31) Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí.
Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.
(36) Hlavní provozovnou správce v Unii by mělo být místo, kde se nachází jeho ústřední správa v Unii, ledaže by rozhodnutí ohledně účelů a prostředků zpracování osobních údajů byla přijímána v jiné provozovně správce v Unii, a v tom případě by za hlavní provozovnu měla být považována tato jiná provozovna.
Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií.
Jedním z nich by měl být účinný a skutečný výkon řídících činností rozhodujících pro hlavní rozhodnutí ohledně účelů a prostředků zpracování v rámci stálého zařízení.
Toto kritérium by nemělo záviset na tom, zda je zpracování osobních údajů prováděno na tomto místě.
Existence a používání technických prostředků a technologií pro zpracování osobních údajů ani činnosti zpracování nezakládají samy o sobě hlavní provozovnu, a proto nejsou rozhodujícími kritérii pro její určení.
Hlavní provozovna zpracovatele by měla být místem, kde se nachází jeho ústřední správa v Unii, nebo pokud v Unii nemá ústřední správu, pak místem, kde jsou v Unii prováděny hlavní činnosti zpracování.
V případech týkajících se správce i zpracovatele by příslušným vedoucím dozorovým úřadem měl i nadále být dozorový úřad členského státu, v němž má správce hlavní provozovnu, avšak dozorový úřad zpracovatele by měl být považován za dotčený dozorový úřad a účastnit se postupu spolupráce stanoveného tímto nařízením.
Dozorové úřady členského státu nebo členských států, v nichž má zpracovatel jednu nebo více provozoven, by v žádném případě neměly být považovány za dotčené dozorové úřady, pokud se návrh rozhodnutí týká pouze správce.
Pokud zpracování provádí skupina podniků, měly by být za hlavní provozovnu této skupiny považována hlavní provozovna řídícího podniku, s výjimkou případů, kdy účely a způsob zpracování určuje jiný podnik.
(37) Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci prosazovat pravidla týkající se ochrany osobních údajů.
Podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, by měl být společně s těmito podniky považován za skupinu podniků.
(38) Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů.
Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.
Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem.
(39) Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem.
Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány.
Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků.
Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají.
Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva.
Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů.
Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány.
Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum.
Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky.
Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum.
měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány.
Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití.
(52) Je třeba rovněž povolit odchylky od zákazu zpracování zvláštních kategorií osobních údajů, jsou-li stanoveny v právu Unie nebo členského státu a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li toto zpracování ve veřejném zájmu, zejména zpracování osobních údajů v oblasti pracovního práva a práva v oblasti sociální ochrany, včetně důchodů, a pro účely zdravotní bezpečnosti, monitorování a varování, předcházení přenosným chorobám a jiným závažným hrozbám pro zdraví nebo jejich kontroly.
Tato odchylka může být učiněna z důvodů zdraví, včetně veřejného zdraví a řízení zdravotnických služeb, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění, nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
Odchylka by rovněž měla umožnit zpracování těchto osobních údajů v případech, kdy je to nezbytné pro stanovení, výkon nebo ochranu právních nároků, ať již v soudním řízení, nebo ve správním či mimosoudním řízení.
(57) Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení.
Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv.
Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.
(59) Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku.
Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky.
Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.
(63) Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.
Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.
Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům.
Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení.
Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací.
Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.
(65) Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje.
Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů.
Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit.
Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě.
Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.
(67) Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.
V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny.
Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena..
(68) Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci.
Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů.
Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy.
Nemělo by se uplatňovat v případě, kdy je zpracování založeno na jiném právním důvodu, než je souhlas nebo smlouva.
Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci.
Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování.
Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.
Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění.
Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému.
(73) Právo Unie nebo členského státu může uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, práva vznést námitku, rozhodnutí založených na profilování, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a pro předcházení porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, vedení veřejných rejstříků z důvodů obecného veřejného zájmu, dalšího zpracování archivovaných osobních údajů s cílem poskytnout konkrétní informace související s politickým chováním za bývalého totalitního režimu nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.
Tato omezení by měla být v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.
(74) měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj.
Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření.
Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.
(83) V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování.
Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny.
Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.
(84) S cílem přispět k zajištění souladu s tímto nařízením v případech, kdy je pravděpodobné, že operace zpracování budou představovat vysoké riziko pro práva a svobody fyzických osob, by měl být správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů, aby vyhodnotil zejména původ, povahu, zvláštnost a závažnost tohoto rizika.
Výsledek posouzení by měl být zohledněn při rozhodování o vhodných opatřeních, která by měla být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s tímto nařízením.
Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, měl by být před zpracováním konzultován dozorový úřad.
(86) Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření.
V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit.
Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů).
Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta.
(89) Směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům.
Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů.
Proto by měla být tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob.
Mezi tyto typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu osobních údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování.
(97) Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů.
V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost.
Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.
Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.
(101) Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací.
Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů.
Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci.
V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení.
K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
(103) Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a zajistit tak právní jistotu a jednotný přístup v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje.
V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení.
Komise by měla být schopna rovněž rozhodnout o zrušení takového rozhodnutí, pokud o tom dotčenou třetí zemi nebo mezinárodní organizaci vyrozumí s plným uvedením důvodů.
(104) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva.
Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi.
Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích.
Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.
(105) Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností.
Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu.
Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat sbor.
(106) Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci a fungování rozhodnutí přijatých na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES.
Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování.
Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý relevantní vývoj v dané třetí zemi nebo mezinárodní organizaci.
Pro účely monitorování a provádění pravidelných přezkumů by Komise měla zohlednit názory a zjištění Evropského parlamentu a Rady, jakož i jiné příslušné orgány a zdroje.
Komise by měla v přiměřené lhůtě vyhodnotit fungování posledně uvedených rozhodnutí a veškerá relevantní zjištění sdělovat výboru ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 182/2011 (12), jak je stanoven v tomto nařízení, Evropskému parlamentu a Radě.
(107) Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje.
Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky článků tohoto nařízení týkající se předání na základě vhodných záruk, závazných podnikových pravidel a odchylek ve zvláštních situacích.
V tomto případě by měly být stanoveny konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi.
Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace.
(109) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo dozorovým úřadem, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo dozorovým úřadem nebo pokud se nedotýkají základních práv či svobod subjektů údajů.
Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.
(111) měla by být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů dal svůj výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány.
Rovněž by měla být stanovena možnost převádět údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo členského státu nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem.
V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.
(113) Předání, o nichž lze konstatovat, že nejsou opakovaná a že se týkají pouze omezeného počtu subjektů údajů, by rovněž mohla být uskutečňována pro účely závažných oprávněných zájmů správce, pokud nad těmito zájmy nepřevažují zájmy nebo práva a svobody subjektu údajů a pokud správce posoudil všechny okolnosti daného předání údajů.
Správce by měl zvážit zvláště povahu osobních údajů, účel a dobu trvání navrhované operace nebo operací zpracování, jakož i situaci v zemi původu, v dané třetí zemi a v zemi konečného určení, a měl by poskytnout vhodné záruky pro ochranu základních práv a svobod fyzických osob, pokud jde o zpracování jejich osobních údajů.
Taková předání by měla být možná pouze v okrajových případech, kdy se nepoužije žádný z ostatních důvodů pro převod.
Pro účely vědeckého či historického výzkumu nebo pro statistické účely by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí.
Správce by o takovém předání měl informovat dozorový úřad a subjekt údajů.
(118) Nezávislost dozorových úřadů by neměla znamenat, že se na ně nemůže vztahovat mechanismus kontroly nebo monitorování, pokud jde o jejich finanční výdaje, nebo soudní přezkum.
(128) Pravidla týkající se vedoucího dozorového úřadu a mechanismu jediného kontaktního místa by se neměla vztahovat na případy, kdy zpracování provádějí orgány veřejné moci nebo soukromé subjekty ve veřejném zájmu.
V takových případech by jediným dozorovým úřadem příslušným k výkonu pravomocí, které mu byly svěřeny podle tohoto nařízení, měl být dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen.
(129) Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud.
Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Členské státy mohou vymezit další úkoly související s ochranou osobních údajů podle tohoto nařízení.
Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými v právu Unie a členského státu, nestranně, spravedlivě a v přiměřených lhůtách.
Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže.
Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky procesního práva členského státu, jako je například požadavek obstarat si předem soudní povolení.
Každé právně závazné opatření dozorového úřadu by mělo mít písemnou formu, být jasné a jednoznačné, uvádět dozorový úřad, který je vydal, a datum svého vydání, mělo by být opatřeno podpisem vedoucího či vedoucím zmocněného člena dozorového úřadu a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.
Tím by však neměly být vyloučeny další požadavky podle procesního práva členského státu.
Přijetí právně závazného rozhodnutí znamená, že může dojít k soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.
(135) Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi dozorovými úřady.
Tento mechanismus by se měl použít především tehdy, má-li některý dozorový úřad v úmyslu přijmout opatření s právními účinky ve vztahu k operacím zpracování, které se podstatně dotýkají významného počtu subjektů údajů v několika členských státech.
Měl by se použít také v případě, kdy kterýkoli dotčený dozorový úřad nebo Komise žádají, aby byla daná záležitost vyřešena v rámci mechanismu jednotnosti.
Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv.
(137) Může se vyskytnout naléhavá potřeba konat z důvodu ochrany práv a svobod subjektů údajů, zejména pokud hrozí, že výkon některého z práv subjektu údajů by mohl být značně ztížen.
Dozorový úřad by proto měl mít možnost v řádně odůvodněných případech přijmout na svém území prozatímní opatření se stanovenou dobou platnosti, která by neměla být delší než tři měsíce.
(139) Za účelem podpory důsledného uplatňování tohoto nařízení by sbor měl být zřízen jako nezávislý subjekt Unie.
Aby sbor mohl plnit své cíle, měl by mít právní subjektivitu.
Sbor by měl zastupovat jeho předseda.
Sbor by měl nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, zřízenou směrnicí 95/46/ES.
Měl by být složen z vedoucího dozorového úřadu každého členského státu a evropského inspektora ochrany údajů nebo jejich příslušných zástupců.
Komise by se měla na jeho činnosti sboru podílet bez hlasovacího práva a evropský inspektor ochrany údajů by měl mít zvláštní hlasovací práva.
Sbor by měl přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi poradenství, zejména ohledně úrovně ochrany ve třetích zemích nebo v mezinárodních organizacích, a podporovat spolupráci dozorových úřadů v celé Unii.
Sbor by měl při plnění svých úkolů jednat nezávisle.
(143) Každá fyzická nebo právnická osoba má právo podat žalobu na neplatnost rozhodnutí sboru u Soudního dvora za podmínek stanovených v článku 263 Smlouvy o fungování EU.
Jakožto orgány, jimž jsou taková rozhodnutí určena, musí dotčené dozorové úřady, které chtějí tato rozhodnutí napadnout, v souladu s článkem 263 Smlouvy o fungování EU žalobu podat ve lhůtě dvou měsíců ode dne, kdy jim byla rozhodnutí oznámena.
Pokud se rozhodnutí sboru bezprostředně a osobně dotýkají správce, zpracovatele nebo stěžovatele, mohou tyto osoby podat žalobu na neplatnost těchto rozhodnutí a v souladu s článkem 263 Smlouvy o fungování EU ve lhůtě dvou měsíců od jejich zveřejnění na internetových stránkách sboru.
Aniž je dotčeno toto právo podle článku 263 Smlouvy o fungování EU, měla by mít každá fyzická nebo právnická osoba právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky.
Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností.
Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu.
Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.
(148) S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut, a to vedle nebo namísto vhodných opatření uložených dozorovým úřadem podle tohoto nařízení.
V méně závažných případech porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí.
Náležitě by se však měla zohlednit povaha, závažnost a doba trvání porušení, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči správci nebo zpracovateli nařízena, dodržování kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor.
Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami právních předpisů Unie a Listiny, včetně účinné právní ochrany a spravedlivého procesu.
(152) Nejsou-li správní sankce harmonizovány tímto nařízením nebo v případě potřeby v jiných případech, jako jsou závažná porušení tohoto nařízení, měly by členské státy zavést systém, který zajistí uložení účinných, přiměřených a odrazujících pokut.
Povaha těchto trestních nebo správních sankcí by měla být stanovena právem členského státu.
(154) Toto nařízení umožňuje, aby při jeho provádění byla zohledněna zásada přístupu veřejnosti k úředním dokumentům.
Lze mít za to, že přístup veřejnosti k úředním dokumentům je ve veřejném zájmu.
Orgán veřejné moci nebo veřejný subjekt by měl mít možnost zpřístupnit veřejnosti osobní údaje v dokumentech, které jsou v jeho držení, pokud je toto zpřístupnění stanoveno právem Unie nebo členského státu, které se na tento orgán nebo subjekt vztahuje.
Tyto právní předpisy by měly zajišťovat soulad přístupu veřejnosti k úředním dokumentům a opakovaného použití informací veřejného sektoru s právem na ochranu osobních údajů, a mohou proto stanovit nezbytné zajištění souladu s právem na ochranu osobních údajů podle tohoto nařízení.
Odkaz na orgány veřejné moci a veřejné subjekty by v tomto kontextu měl zahrnovat všechny orgány nebo jiné subjekty, na něž se vztahuje právo členského státu v oblasti přístupu veřejnosti k dokumentům.
Směrnice Evropského parlamentu a Rady 2003/98/ES (14) ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle práva Unie a členských států, a zejména nemění povinnosti a práva podle tohoto nařízení.
Uvedená směrnice by se zejména neměla vztahovat na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a na části dokumentů přístupné podle těchto režimů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu fyzických osob v souvislosti se zpracováním osobních údajů.
(159) Jsou-li osobní údaje zpracovávány pro účely vědeckého výzkumu, toto nařízení by se mělo vztahovat i na takové zpracování.
Pro účely tohoto nařízení by zpracování osobních údajů pro účely vědeckého výzkumu mělo být chápáno v širokém smyslu a zahrnovat například technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů.
Kromě toho by mělo zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování EU, jímž je vytvoření evropského výzkumného prostoru.
K účelům vědeckého výzkumu by rovněž měly patřit studie prováděné ve veřejném zájmu v oblasti veřejného zdraví.
V zájmu dodržení specifických podmínek zpracování osobních údajů pro vědecké účely by měly platit zvláštní podmínky zejména pro zveřejňování nebo jiné zpřístupnění osobních údajů v souvislosti s účely vědeckého výzkumu.
Vyplynou-li z vědeckého výzkumu, zejména v souvislosti se zdravím, důvody pro přijetí dalších opatření v zájmu subjektu údajů, měla by se s ohledem na tato opatření uplatňovat obecná pravidla tohoto nařízení.
(161) Pro účely vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit příslušná ustanovení nařízení Evropského parlamentu a Rady (EU) č. 536/2014 (15).
(166) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU.
Akty v přenesené pravomoci by měly být přijímány především s ohledem na kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, informace, které mají být poskytovány pomocí standardizovaných ikon a postupy pro prezentaci takových ikon.
Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni.
Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.
(167) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením.
Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.
Komise by v této souvislosti měla zvážit zvláštní opatření, pokud jde o mikropodniky a malé a střední podniky.
(169) Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech, jestliže dostupné důkazy poukazují na to, že určitá třetí země, určité území či konkrétní odvětví zpracování v určité třetí zemi nebo určitá mezinárodní organizace nezajišťuje odpovídající úroveň ochrany, a jedná-li se o krajně naléhavé případy, měla by Komise přijmout okamžitě použitelné prováděcí akty.
(171) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena.
Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost.
Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení.
Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena.
(173) Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracování osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici Evropského parlamentu a Rady 2002/58/ES (18) a sledující stejný cíl, včetně povinností správce a práv fyzických osob.
Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být uvedená směrnice odpovídajícím způsobem změněna.
Jakmile bude toto nařízení přijato, směrnice 2002/58/ES by měla být podrobena přezkumu, zejména s cílem zajistit soudržnost s tímto nařízením,
dal 2004 diritto e informatica