interactive GDPR 2016/0679 CS

1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:

a)	při výkonu činností, které nespadají do oblasti působnosti práva Unie;

b)	členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

c)	fyzickou osobou v průběhu výlučně osobních či domácích činností;

d)	příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

3. Na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie se vztahuje nařízení (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98.

4. Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.

Článek 4

Definice

Pro účely tohoto nařízení se rozumí:

„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

3)	„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;

„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;

„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;

6)	„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;

„správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

8)	„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;

10)	„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;

11)	„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

12)	„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

13)	„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;

14)	„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;

15)	„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

16)

„hlavní provozovnou“:

v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;

v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;

17)	„zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení;

18)	„podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;

19)	„skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

20)

„závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost;

21)	„dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51;

22)

„dotčeným dozorovým úřadem“ dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:

a)	správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu;

b)	subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo

c)	u něj byla podána stížnost;

23)

„přeshraničním zpracováním“ buď:

a)	zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo

b)	zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;

24)

„relevantní a odůvodněnou námitkou“ námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie;

25)	„službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 (19);

26)	„mezinárodní organizací“ organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.

KAPITOLA II

Zásady

Článek 5

Zásady zpracování osobních údajů

1. Osobní údaje musí být:

a)	ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);

shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely („účelové omezení“);

c)	přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);

d)	přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);

uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);

f)	zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“);

2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

Článek 11

Zpracování, které nevyžaduje identifikaci

1. Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.

2. Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 15 až 20, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.

KAPITOLA III

Práva subjektu údajů

Oddíl 1

Transparentnost a postupy

Článek 24

Odpovědnost správce

1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

3. Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.

Článek 27

Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v Unii

1. Pokud se použije čl. 3 odst. 2, správce nebo zpracovatel písemně jmenuje svého zástupce v Unii.

2. Povinnost uvedená v odstavci 1 tohoto článku se nevztahuje na:

zpracování, které je příležitostné, nezahrnuje, ve velkém měřítku, zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10, a u něhož je nepravděpodobné, že by s ohledem na svou povahu, kontext, rozsah a účely představovalo riziko pro práva a svobody fyzických osob; nebo

b)	orgán veřejné moci nebo veřejný subjekt.

3. Zástupce je usazen v jednom z členských států, ve kterém se vyskytují subjekty údajů, jejichž osobní údaje jsou zpracovávány v souvislosti s nabízeným zbožím či službami, nebo jejichž chování je monitorováno.

4. Zástupce je správcem nebo zpracovatelem zmocněn v tom smyslu, že se na něj vedle správce nebo zpracovatele nebo místo nich mohou obracet zejména dozorové úřady a subjekty údajů ohledně všech otázek souvisejících se zpracováním za účelem zajištění souladu s tímto nařízením.

5. Tím, že správce nebo zpracovatel jmenuje svého zástupce, nejsou dotčeny právní kroky, které by mohly být zahájeny proti správci nebo zpracovateli samotnému.

Článek 35

Posouzení vlivu na ochranu osobních údajů

1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)	systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)	rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo

c)	rozsáhlé systematické monitorování veřejně přístupných prostorů.

4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.

5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.

6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.

7. Posouzení obsahuje alespoň:

a)	systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;

b)	posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)	posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

d)	plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.

10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.

11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 39

Úkoly pověřence pro ochranu osobních údajů

1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly:

a)	poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

c)	poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;

d)	spolupráce s dozorovým úřadem a

e)	působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.

Oddíl 5

Kodexy chování a vydávání osvědčení

Článek 40

Kodexy chování

1. Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.

2. Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto nařízení, mimo jiné pokud jde o:

a)	spravedlivé a transparentní zpracování;

b)	oprávněné zájmy, jež správci v konkrétních situacích sledují;

c)	shromažďování osobních údajů;

d)	pseudonymizaci osobních údajů;

e)	informace poskytované veřejnosti a subjektů údajů;

f)	výkon práv subjektů údajů;

g)	informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem;

h)	opatření a postupy uvedené v článcích 24 a 25 a opatření k zajištění bezpečnosti zpracování podle článku 32;

i)	ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů;

j)	předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo

k)	mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů podle článků 77 a 79.

3. Vedle správců a zpracovatelů, na něž se vztahuje toto nařízení vztahuje, mohou kodexy chování schválené podle odstavce 5 tohoto článku a mající všeobecnou platnost podle odstavce 9 tohoto článku dodržovat i správci nebo zpracovatelé, na něž se podle článku 3 toto nařízení nevztahuje, s cílem poskytnout vhodné záruky v rámci předání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. e). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nástrojů nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.

4. Kodex chování uvedený v odstavci 2 tohoto článku obsahuje mechanismy, které umožňují subjektu uvedenému v čl. 41 odst. 1 provádět povinné monitorování dodržování jeho ustanovení správci nebo zpracovateli, kteří se zavázali jej dodržovat, aniž tím jsou dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.

5. Sdružení nebo jiné subjekty uvedené v odstavci 2 tohoto článku, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu dozorového úřadu, který je příslušný podle článku 55. Dozorový úřad vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu ný či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej.

6. Je-li kodex chování nebo návrh na úpravu či rozšíření kodexu schválen v souladu s odstavcem 5 a jestliže se kodex chování nevztahuje na činnosti zpracování v několika členských státech, dozorový úřad daný kodex zaregistruje a zveřejní.

7. Pokud se návrh kodexu chování týká činností zpracování v několika členských státech, předloží dozorový úřad příslušný podle článku 55 návrh kodexu nebo návrh na úpravu či rozšíření kodexu před jeho schválením v rámci postupu podle článku 63 sboru a ten vydá stanovisko k tomu, zda je návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením nebo zda v situaci uvedené v odstavci 3 tohoto článku poskytuje vhodné záruky.

8. Pokud se ve stanovisku uvedeném v odstavci 7 potvrdí, že kodex chování nebo návrh na úpravu či rozšíření kodexu je v souladu s tímto nařízením nebo že v situaci uvedené v odstavci 3 poskytují vhodné záruky, předloží sbor své stanovisko Komisi.

9. Komise může prostřednictvím prováděcích aktů rozhodnout, že schválený kodex chování, jeho úprava či rozšíření, které jí byly předloženy podle odstavce 8 tohoto článku, mají všeobecnou platnost v rámci Unie. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

10. Komise zajistí odpovídající zveřejnění schválených kodexů, o nichž bylo v souladu s odstavcem 9 rozhodnuto, že mají všeobecnou platnost.

11. Sbor všechny schválené kodexy chování a jejich úpravy či rozšíření shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

Článek 41

Monitorování schválených kodexů chování

1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, může monitorování souladu s kodexem chování podle článku 40 provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem.

2. Subjekt uvedený v odstavci 1 může být akreditován pro monitorování souladu s kodexem chování, pokud tento subjekt:

a)	prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu kodexu;

b)	stanovil postupy, které mu umožňují posoudit způsobilost dotčených správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování;

c)	stanovil postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

d)	ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

3. Příslušný dozorový úřad předloží návrh kritérií pro akreditaci subjektu uvedeného v odstavci 1 tohoto článku sboru podle mechanismu jednotnosti uvedeného v článku 63.

4. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu a aniž je dotčena kapitola VIII, přijme subjekt uvedený v odstavci 1 tohoto článku s výhradou vhodných záruk v případech porušování kodexu správcem nebo zpracovatelem vhodná opatření, včetně pozastavení účasti daného správce nebo zpracovatele na kodexu nebo jeho vyloučení z této účasti. O těchto opatřeních a důvodech jejich přijetí informuje příslušný dozorový úřad.

5. Příslušný dozorový úřad zruší akreditaci subjektu uvedeného v odstavci 1, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace nebo jestliže je činnosti tohoto subjektu v rozporu s tímto nařízením.

6. Tento článek se netýká zpracování prováděného orgány veřejné moci a veřejnými subjekty.

Článek 42

Vydávání osvědčení

1. Členské státy, dozorové úřady, sbor a Komise podpoří, zejména na úrovni Unie, zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s tímto nařízením v případě operací zpracování prováděných správci a zpracovateli. Zohlední se specifické potřeby mikropodniků a malých a středních podniků.

2. Vedle dodržování správci a zpracovateli, na něž se vztahuje toto nařízení, mohou být mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky schválené podle odstavce 5 tohoto článku zavedeny rovněž za účelem prokázání existence vhodných záruk poskytnutých správci nebo zpracovateli, na něž se podle článku 3 toto nařízení nevztahuje, v rámci předávání osobních údajů do třetích zemí nebo mezinárodním organizacím za podmínek uvedených v čl. 46 odst. 2 písm. f). Za účelem uplatňování těchto vhodných záruk, a to i pokud jde o práva subjektů údajů, přijmou tito správci nebo zpracovatelé prostřednictvím smluvních nebo jiných právně závazných nástrojů závazné a vymahatelné závazky.

3. Vydávání osvědčení je dobrovolné a dostupné prostřednictvím postupu, který je transparentní.

4. Osvědčením podle tohoto článku se nesnižuje odpovědnost správce nebo zpracovatele za soulad s tímto nařízením a nejsou jím dotčeny úkoly a pravomoci dozorových úřadů, které jsou příslušné podle článku 55 nebo 56.

5. Osvědčení podle tohoto článku vydávají subjekty pro vydávání osvědčení uvedené v článku 43 nebo příslušný dozorový úřad na základě kritérií jím schválených podle čl. 58 odst. 3 nebo schválených sborem podle článku 63. Jsou-li kritéria schválena sborem, může to vést k vydání společného osvědčení, evropské pečeti ochrany údajů.

6 Správce nebo zpracovatel, který předloží své zpracování mechanismu pro vydávání osvědčení, poskytne subjektu pro vydávání osvědčení uvedenému v článku 43 nebo případně příslušnému dozorovému úřadu veškeré informace a přístup ke svým činnostem zpracování, které jsou pro provedení postupu vydávání osvědčení nezbytné.

7. Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení podle článku 43 nebo příslušný dozorový úřad uvedené osvědčení odeberou.

8. Sbor všechny mechanismy pro vydávání osvědčení o ochraně údajů a příslušné pečetě či známky shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

Článek 43

Subjekty pro vydávání osvědčení

1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, osvědčení vydává a obnovuje subjekt pro vydávání osvědčení, který má příslušnou úroveň odborných znalostí ohledně ochrany údajů, a to poté, co informoval dozorový úřad s cílem umožnit případně výkon jeho pravomocí podle čl. 58 odst. 2 písm. h). Členské státy zajistí, aby byly tyto subjekty pro vydávání osvědčení akreditovány jedním nebo oběma z následujících orgánů:

a)	dozorovým úřadem, který je příslušný podle článku 55 nebo 56; nebo

b)	vnitrostátním akreditačním orgánem určeným v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 (20), v souladu s normou EN-ISO/IEC 17065/2012 a s dodatečnými požadavky stanovenými dozorovým úřadem, který je příslušný podle článku 55 nebo 56.

2. Subjekt pro vydávání osvědčení uvedený v odstavci 1 je pro tento účel akreditován v souladu s uvedeným odstavcem, pouze pokud:

a)	prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu osvědčení;

b)	se zavázal dodržovat kritéria uvedená v čl. 42 odst. 5 a schválená dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63;

c)	stanovil postupy pro vydávání, pravidelný přezkum a odebírání osvědčení, pečetí a známek dokládajících ochranu údajů;

d)	stanovil postupy a struktury pro řešení stížností týkajících se porušování osvědčení nebo způsobu, jak správce nebo zpracovatel osvědčení uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

e)	ke spokojenosti příslušného dozorového úřadu doložil, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

3. Akreditace subjektů pro vydávání osvědčení uvedených v odstavcích 1 a 2 tohoto článku probíhá na základě kritérií schválených dozorovým úřadem, který je příslušný podle článku 55 nebo 56, nebo sborem podle článku 63. V případě akreditace podle odst. 1 písm. c) tohoto článku tyto požadavky doplňují požadavky stanovené v nařízení (ES) č. 765/2008 a technická pravidla, která popisují metody a postupy subjektů pro vydávání osvědčení.

4. Subjekty pro vydávání osvědčení uvedené v odstavci 1 jsou odpovědné za řádné posouzení vedoucí k vydání osvědčení nebo k jeho odebrání, aniž je dotčena odpovědnost správce nebo zpracovatele za soulad s tímto nařízením. Akreditace se vydává na období nejvýše pěti let a lze ji obnovit za stejných podmínek, pokud daný subjekt pro vydávání osvědčení splňuje příslušné požadavky stanovené tímto článkem.

5. Subjekty pro vydávání osvědčení uvedené v odstavci 1 sdělí příslušným dozorovým úřadům důvody pro vydání nebo odebrání požadovaného osvědčení.

6. Požadavky podle odstavce 3 tohoto článku a kritéria podle čl. 42 odst. 5 zveřejní dozorový úřad ve snadno přístupné formě. Dozorové úřady je předají také sboru. Sbor všechny mechanismy pro vydávání osvědčení a pečetě dokládající ochranu údajů shromáždí v registru a vhodným způsobem je zpřístupní veřejnosti.

7. Aniž je dotčena kapitola VIII, zruší příslušný dozorový úřad nebo vnitrostátní akreditační orgán akreditaci, kterou udělil subjektu pro vydávání osvědčení podle odstavce 1 tohoto článku, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace, nebo kroky tohoto subjektu pro vydávání osvědčení porušují toto nařízení.

8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem upřesnění požadavků, které je třeba zohlednit v souvislosti s mechanismy pro vydávání osvědčení o ochraně údajů podle čl. 42 odst. 1.

9. Komise může přijmout prováděcí akty, kterými stanoví technické normy pro mechanismy vydávání osvědčení a pro pečeti a známky dokládající ochranu údajů a mechanismy pro prosazování a uznávání mechanismů vydávání osvědčení a pečetí a známek dokládajících ochranu údajů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

KAPITOLA V

Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím

Článek 44

Obecná zásada pro předávání

K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.

Článek 55

Příslušnost

1. Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením.

2. Pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. V takových případech se nepoužije článek 56.

3. Dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudních pravomocí.

Článek 57

Úkoly

1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

a)	monitoruje a vymáhá uplatňování tohoto nařízení;

b)	zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)	v souladu s právem členského státu poskytuje poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d)	podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

e)	na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

g)	s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

h)	provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

i)	monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

j)	přijímá standardní smluvní doložky uvedené v čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

k)	připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

l)	poskytuje poradenství o operacích zpracování uvedených v čl. 36 odst. 2;

m)	podporuje vypracování kodexů chování podle čl. 40 odst. 1, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky podle čl. 40 odst. 5;

n)	vybízí k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů podle čl. 42 odst. 1 a schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

o)	případně provádí pravidelný přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

p)	navrhuje a zveřejňuje kritéria pro schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

q)	provádí schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

r)	schvaluje smluvní doložky a ustanovení uvedené v čl. 46 odst. 3;

s)	schvaluje závazná podniková pravidla podle článku 47;

t)	přispívá k činnostem sboru;

u)	vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2; a

v)	plní veškeré další úkoly související s ochranou osobních údajů.

2. Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3. Provádění úkolů každého dozorového úřadu je pro subjekty údajů a pro případné pověřence pro ochranu osobních údajů bezplatné.

4. Jestliže jsou požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.

Článek 58

Pravomoci

1. Každý dozorový úřad má všechny tyto vyšetřovací pravomoci:

a)	nařídit správci a zpracovateli, případně zástupci správce nebo zpracovatele, aby mu poskytli veškeré informace, které potřebuje k plnění svých úkolů;

b)	provádět vyšetřování formou auditů ochrany údajů;

c)	provádět přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

d)	ohlásit správci nebo zpracovateli údajné porušení tohoto nařízení;

e)	získat od správce a zpracovatele přístup ke všem osobním údajům a ke všem informacím, které potřebuje k výkonu svých úkolů;

f)	získat přístup do všech prostor, v nichž správce a zpracovatel působí, včetně přístupu k veškerému zařízení a prostředkům určeným ke zpracování údajů, v souladu s procesním právem Unie nebo členského státu.

2. Každý dozorový úřad má všechny tyto nápravné pravomoci:

a)	upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují toto nařízení;

b)	udělit napomenutí správci či zpracovateli, jehož operace zpracování porušily toto nařízení;

c)	nařídit správci nebo zpracovateli, aby vyhověli žádostem subjektu údajů o výkon jeho práv podle tohoto nařízení;

d)	nařídit správci či zpracovateli, aby uvedl operace zpracování do souladu s tímto nařízením, a to případně předepsaným způsobem a ve stanovené lhůtě;

e)	nařídit správci, aby subjektu údajů oznámil případy porušení zabezpečení osobních údajů;

f)	uložit dočasné nebo trvalé omezení zpracování, včetně jeho zákazu;

g)	nařídit opravu či výmaz osobních údajů nebo omezení zpracování podle článků 16, 17 a 18 a ohlašování takových opatření příjemcům, jimž byly osobní údaje zpřístupněny podle čl. 17 odst. 2 a článku 19;

h)	odebrat osvědčení nebo nařídit, aby subjekt pro vydávání osvědčení odebral osvědčení vydané podle článků 42 a 43, nebo aby osvědčení nevydal, pokud požadavky na osvědčení plněny nejsou nebo již přestaly být plněny;

i)	uložit správní pokutu podle článku 83 vedle či namísto opatření uvedených v tomto odstavci, podle okolností každého jednotlivého případu;

j)	nařídit přerušení toků údajů příjemci ve třetí zemi nebo toků údajů mezinárodní organizaci.

3. Každý dozorový úřad má všechny tyto povolovací a poradní pravomoci:

a)	poskytovat poradenství správci v souladu s postupem předchozí konzultace podle článku 36;

b)	z vlastního podnětu nebo na požádání vydávat stanoviska určená vnitrostátnímu parlamentu, vládě členského státu nebo v souladu s právem členského státu dalším institucím a subjektům, jakož i veřejnosti, ohledně veškerých otázek souvisejících s ochranou osobních údajů;

c)	povolovat zpracování uvedené v čl. 36 odst. 5, pokud právo členského státu takové předchozí povolení vyžaduje;

d)	vydávat stanoviska a schvalovat návrhy kodexů chování podle čl. 40 odst. 5;

e)	akreditovat subjekty pro vydávání osvědčení podle článku 43;

f)	vydávat osvědčení a schvalovat kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

g)	přijímat standardní doložky o ochraně údajů podle čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

h)	povolovat smluvní doložky podle čl. 46 odst. 3 písm. a);

i)	povolovat správní ujednání podle čl. 46 odst. 3 písm. b);

j)	schvalovat závazná podniková pravidla podle článku 47.

4. Výkon pravomocí svěřených tímto článkem dozorovému úřadu podléhá vhodným zárukám, včetně účinné soudní ochrany a spravedlivého procesu, stanoveným v právu Unie a členského státu v souladu s Listinou.

5. Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.

6. Každý členský stát může v právních předpisech stanovit, že jeho dozorový úřad má další pravomoci než ty uvedené v odstavcích 1, 2 a 3. Výkon těchto pravomocí nesmí narušit účinné fungování kapitoly VII.

Článek 64

Stanovisko sboru

1. Sbor vydá stanovisko, hodlá-li příslušný dozorový úřad přijmout některé z níže uvedených opatření. Za tímto účelem příslušný dozorový úřad oznámí sboru návrh rozhodnutí, pokud:

a)	má za cíl přijmout seznam operací zpracování podléhajících požadavku na posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

b)	se týká záležitosti podle čl. 40 odst. 7, zda je návrh kodexu chování nebo změna či rozšíření kodexu chování v souladu s tímto nařízením;

c)	má za cíl schválit kritéria pro akreditaci subjektu podle čl. 41 odst. 3 nebo subjektu pro vydávání osvědčení podle čl. 43 odst. 3;

d)	má za cíl stanovit standardní doložky o ochraně údajů podle čl. 46 odst. 2 písm. d) a čl. 28 odst. 8;

e)	má za cíl schválit smluvní doložky podle čl. 46 odst. 3 písm. a); nebo

f)	má za cíl schválit závazná podniková pravidla ve smyslu článku 47.

2. Kterýkoli dozorový úřad, předseda sboru nebo Komise mohou požádat, aby sbor posoudil jakoukoli záležitost s obecnou působností nebo s účinky ve více než jednom členském státě za účelem získání stanoviska, zejména v případě, kdy příslušný dozorový úřad nesplní povinnosti související se vzájemnou pomocí podle článku 61 nebo se společnými postupy podle článku 62.

3. V případech uvedených v odstavcích 1 a 2 vydá sbor stanovisko k záležitosti, která mu byla předložena, pokud již stanovisko ke stejné záležitosti nevydal. Toto stanovisko se přijme do osmi týdnů prostou většinou členů sboru. Tato lhůta může být prodloužena o dalších šest týdnů s ohledem na složitost dané záležitosti. Pokud jde o návrh rozhodnutí uvedený v odstavci 1 zaslaný členům sboru v souladu s odstavcem 5, má se za to, že členové, kteří v přiměřené lhůtě stanovené předsedou nevznesli námitky, s návrhem rozhodnutí souhlasí.

4. Dozorové úřady a Komise elektronickými prostředky a za použití standardizovaného formátu bez zbytečného odkladu oznamují sboru veškeré relevantní informace, případně včetně shrnutí skutečností, návrhu rozhodnutí, důvodů, pro které je nezbytné takové opatření přijmout, a stanoviska dalších dotčených dozorových úřadů.

5. Předseda sboru bez zbytečného odkladu elektronickými prostředky sděluje:

a)	členům sboru a Komisi veškeré relevantní informace, které byly radě pro ochranu údajů sděleny, a to za použití standardizovaného formátu. V nezbytných případech poskytne sekretariát sboru překlady relevantních informací; a

b)	dozorovému úřadu uvedenému v odstavcích 1 a 2 a Komisi stanovisko, které zveřejní.

6. Během lhůty uvedené v odstavci 3 nepřijme příslušný dozorový úřad svůj návrh rozhodnutí podle odstavce 1.

7. Dozorový úřad uvedený v odstavci 1 stanovisko sboru co nejvíce zohlední a do dvou týdnů po obdržení stanoviska v elektronické formě sdělí předsedovi sboru, zda svůj návrh rozhodnutí zachová nebo jej změní, a rozhodne-li se je změnit, zašle mu pozměněný návrh rozhodnutí za použití standardizovaného formátu.

8. Pokud ve lhůtě uvedené v odstavci 7 tohoto článku informuje dotčený dozorový úřad předsedu sboru o tom, že nemá v úmyslu se stanoviskem sboru řídit, ať již zcela nebo částečně, a uvede relevantní důvody, použije se čl. 65 odst. 1.

Článek 75

Sekretariát

1. Sbor má k dispozici sekretariát, jehož služby poskytuje evropský inspektor ochrany údajů.

2. Sekretariát plní své úkoly výlučně v souladu s pokyny předsedy sboru.

3. Na pracovníky evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením se vztahují jiné hierarchické linie než na pracovníky podílející se na plnění úkolů svěřených evropskému inspektorovi ochrany údajů.

4. Sbor s evropským inspektorem ochrany údajů v případě potřeby vypracují a zveřejní memorandum o porozumění, jímž se provádí tento článek a vymezují podmínky jejich spolupráce a jenž je použitelný pro pracovníky evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením.

5. Sekretariát zajišťuje sboru analytickou, administrativní a logistickou podporu.

6. Sekretariát odpovídá zejména za:

a)	každodenní fungování sboru;

b)	komunikaci mezi členy sboru, jeho předsedou a Komisí;

c)	komunikaci s jinými institucemi a veřejností;

d)	využívání elektronických prostředků k interní a externí komunikaci;

e)	překlady relevantních informací;

f)	přípravu zasedání sboru a navazující opatření;

g)	přípravu, navrhování a zveřejňování stanovisek, rozhodnutí o urovnání sporů mezi dozorovými úřady a jiných textů přijímaných sborem.

Článek 76

Důvěrnost

1. Pokládá-li to sbor za nezbytné, jsou jeho jednání důvěrná, jak je stanoveno v jednacím řádu sboru.

2. Přístup k dokumentům předkládaným členům sboru, odborníkům a zástupcům třetích stran se řídí nařízením Evropského parlamentu a Rady (ES) č. 1049/2001 (21).

KAPITOLA VIII

Právní ochrana, odpovědnost a sankce

Článek 79

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.

Článek 82

Právo na náhradu újmy a odpovědnost

1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

4. Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.

5. Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.

6. Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva členského státu uvedeného v čl. 79 odst. 2.

Článek 89

Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely

1. Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů. Tyto záruky zajistí, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Tato opatření mohou zahrnovat pseudonymizaci za podmínky, že lze tímto způsobem splnit sledované účely. Pokud mohou být sledované účely splněny dalším zpracováním, které neumožňuje nebo které přestane umožňovat identifikaci subjektů údajů, musí být tyto účely splněny tímto způsobem.

2. Jsou-li osobní údaje zpracovány pro účely vědeckého či historického výzkumu nebo pro statistické účely, může právo Unie nebo členského státu stanovit odchylky od práv uvedených v článcích 15, 16, 18 a 21, s výhradou podmínek a záruk uvedených v odstavci 1 tohoto článku, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

3. Jsou-li osobní údaje zpracovány pro účely archivace ve veřejném zájmu, může právo Unie nebo členského státu stanovit odchylky od práv uvedených v článcích 15, 16, 18, 19, 20 a 21, s výhradou podmínek a záruk uvedených v odstavci 1 tohoto článku, pokud je pravděpodobné, že by daná práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

4. Pokud typ zpracování uvedený v odstavcích 2 a 3 slouží zároveň k jinému účelu, povolené odchylky se vztahují pouze na zpracování pro účely uvedené ve zmíněných odstavcích.

Článek 91

Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími

1. Jestliže církve a náboženská sdružení nebo společenství v některém členském státě v době vstupu tohoto nařízení v platnost uplatňují komplexní pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním, tato pravidla mohou nadále platit za předpokladu, že se uvedou do souladu s tímto nařízením.

2. Na církve a náboženská sdružení uplatňující komplexní pravidla v souladu s odstavcem 1 tohoto článku dohlíží nezávislý dozorový úřad, který může být zvláštní, za předpokladu, že splňuje podmínky stanovené v kapitole VI.

KAPITOLA X

Akty v přenesené pravomoci a prováděcí akty

Článek 94

Zrušení směrnice 95/46/ES

1. Směrnice 95/46/ES se zrušuje s účinkem ode dne 25. května 2018.

2. Odkazy na zrušenou směrnici se považují za odkazy na toto nařízení. Odkazy na pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízenou článkem 29 směrnice 95/46/ES se považují za odkazy na Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením.

whereas

(14) Ochrana poskytovaná tímto nařízením by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště.
Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.

- = -

(17) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (6) se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie.
Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným tímto nařízením a uplatňovány s ohledem na toto nařízení.
S cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie by po přijetí tohoto nařízení měly následovat nezbytné úpravy nařízení (ES) č. 45/2001, aby bylo možné jej uplatňovat zároveň s tímto nařízením.

- = -

(21) Tímto nařízením není dotčeno uplatňování směrnice Evropského parlamentu a Rady 2000/31/ES (8), zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.
Cílem uvedené směrnice je přispět k řádnému fungování vnitřního trhu tím, že zajistí volný pohyb služeb informační společnosti mezi členskými státy.

- = -

(22) Jakékoliv zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni.
Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení.
Právní forma této provozovny, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.

- = -

(36) Hlavní provozovnou správce v Unii by mělo být místo, kde se nachází jeho ústřední správa v Unii, ledaže by rozhodnutí ohledně účelů a prostředků zpracování osobních údajů byla přijímána v jiné provozovně správce v Unii, a v tom případě by za hlavní provozovnu měla být považována tato jiná provozovna.
Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií.
Jedním z nich by měl být účinný a skutečný výkon řídících činností rozhodujících pro hlavní rozhodnutí ohledně účelů a prostředků zpracování v rámci stálého zařízení.
Toto kritérium by nemělo záviset na tom, zda je zpracování osobních údajů prováděno na tomto místě.
Existence a používání technických prostředků a technologií pro zpracování osobních údajů ani činnosti zpracování nezakládají samy o sobě hlavní provozovnu, a proto nejsou rozhodujícími kritérii pro její určení.
Hlavní provozovna zpracovatele by měla být místem, kde se nachází jeho ústřední správa v Unii, nebo pokud v Unii nemá ústřední správu, pak místem, kde jsou v Unii prováděny hlavní činnosti zpracování.
V případech týkajících se správce i zpracovatele by příslušným vedoucím dozorovým úřadem měl i nadále být dozorový úřad členského státu, v němž má správce hlavní provozovnu, avšak dozorový úřad zpracovatele by měl být považován za dotčený dozorový úřad a účastnit se postupu spolupráce stanoveného tímto nařízením.
Dozorové úřady členského státu nebo členských států, v nichž má zpracovatel jednu nebo více provozoven, by v žádném případě neměly být považovány za dotčené dozorové úřady, pokud se návrh rozhodnutí týká pouze správce.
Pokud zpracování provádí skupina podniků, měly by být za hlavní provozovnu této skupiny považována hlavní provozovna řídícího podniku, s výjimkou případů, kdy účely a způsob zpracování určuje jiný podnik.

- = -

(51) Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody.
Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras.
Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby.
Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce.
Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování.
Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

- = -

(65) Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje.
Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů.
Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit.
Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě.
Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

- = -

(72) Na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody zpracování nebo zásady ochrany údajů.
Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením (dále jen „sbor“) by měl mít možnost vydat v této souvislosti pokyny.

- = -

(74) Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj.
Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření.
Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

- = -

(78) Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení.
Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů.
Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky.
Pokud jde o vývoj, koncepci, výběr a používání aplikací, služeb a produktů, které jsou založeny na zpracování osobních údajů nebo osobní údaje za účelem plnění svých funkcí zpracovávají, je třeba zhotovitele těchto produktů, služeb a aplikací vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů.
Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.

- = -

(80) Pokud správce nebo zpracovatel, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které se nacházejí v Unii, a tyto činnosti zpracování souvisejí s nabídkou zboží nebo služeb takovým subjektům údajů v Unii bez ohledu na to, zda je vyžadována platba subjektu údajů, nebo souvisejí s monitorováním jejich chování v rozsahu, v němž k tomuto chování dochází v Unii, měl by daný správce nebo zpracovatel jmenovat svého zástupce, ledaže by dotčené zpracování bylo příležitostné, nezahrnovalo by rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů a bylo by nepravděpodobné, že by s ohledem na svou povahu, souvislosti, rozsah a účely mohlo toto zpracování představovat riziko pro práva a svobody fyzických osob, nebo ledaže by správce byl orgánem veřejné moci nebo veřejným subjektem.
Zástupce by měl jednat jménem správce nebo zpracovatele a může se něj obracet kterýkoliv dozorový úřad.
Zástupce by měl být výslovně jmenován na základě písemného zmocnění správcem nebo zpracovatelem, aby jednal jejich jménem v souvislosti s povinnostmi správce nebo zpracovatele stanovenými tímto nařízením.
Jmenováním tohoto zástupce není dotčena odpovědnost správce nebo zpracovatele podle tohoto nařízení.
Zástupce by měl vykonávat své úkoly podle zmocnění uděleného správcem nebo zpracovatelem, mimo jiné by měl spolupracovat s příslušnými dozorovými úřady při jakémkoliv úkonu prováděném s cílem zajistit soulad s tímto nařízením.
Vůči jmenovanému zástupci by se v případě neplnění povinností správcem nebo zpracovatelem mělo uplatnit vymáhací řízení.

- = -

(82) Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá.
Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

- = -

(83) V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování.
Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny.
Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

- = -

(84) S cílem přispět k zajištění souladu s tímto nařízením v případech, kdy je pravděpodobné, že operace zpracování budou představovat vysoké riziko pro práva a svobody fyzických osob, by měl být správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů, aby vyhodnotil zejména původ, povahu, zvláštnost a závažnost tohoto rizika.
Výsledek posouzení by měl být zohledněn při rozhodování o vhodných opatřeních, která by měla být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s tímto nařízením.
Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, měl by být před zpracováním konzultován dozorový úřad.

- = -

(90) V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika.
Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.

- = -

(96) V průběhu příprav legislativního nebo regulačního opatření, jímž bude stanoveno zpracování osobních údajů, by měl být rovněž konzultován dozorový úřad, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů.

- = -

(97) Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů.
V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost.
Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.
Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.

- = -

(100) S cílem zvýšit transparentnost a lépe zajistit soulad s tímto nařízením je třeba vybízet k zavedení mechanismů pro vydávání osvědčení, jakož i pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly u příslušných produktů a služeb rychle posoudit úroveň ochrany údajů.

- = -

(101) Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací.
Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů.
Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci.
V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení.
K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

- = -

(102) Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů, které zahrnují vhodné záruky pro subjekty údajů. Členské státy mohou uzavírat mezinárodní dohody, které zahrnují předání osobních údajů do třetích zemí nebo mezinárodním organizacím, pokud takové dohody nemají vliv na toto nařízení nebo jakákoliv jiná ustanovení práva Unie a obsahují odpovídající úroveň ochrany základních práv subjektů údajů.

- = -

(115) Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování fyzickými a právnickými osobami spadající do pravomoci členských států.
Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na platných mezinárodních dohodách, jako je například smlouva o vzájemné právní pomoci, mezi danou třetí zemí a Unií nebo členským státem.
Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zajištění ochrany fyzických osob zajištěné v Unii tímto nařízením.
Předání údajů by mělo být povoleno jen tehdy, jsou-li splněny podmínky předání údajů do třetích zemí stanovené v tomto nařízení.
Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie nebo členského státu, které se na správce vztahuje.

- = -

(116) Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů.
Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu.
Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje.
Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací a provádění šetření ve spolupráci s příslušnými mezinárodními partnery.
Pro účely vypracování mechanismů mezinárodní spolupráce s cílem usnadnit a poskytovat vzájemnou mezinárodní pomoc při prosazování právních předpisů na ochranu osobních údajů by si Komise a dozorové úřady měly při činnostech souvisejících s výkonem svých pravomocí vyměňovat informace a spolupracovat s příslušnými orgány ve třetích zemích, na základě vzájemnosti a v souladu s tímto nařízením.

- = -

(122) Každý dozorový úřad by měl být na území svého vlastního členského státu příslušný k výkonu pravomocí a plnění úkolů, které mu byly svěřeny v souladu s tímto nařízením.
To by se mělo týkat zejména zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele na území jejich vlastního členského státu, zpracování osobních údajů prováděného orgány veřejné moci nebo soukromými subjekty jednajícími ve veřejném zájmu, zpracování dotýkajícího se subjektů údajů na jeho území nebo zpracování prováděného správcem či zpracovatelem, který není usazen v Unii, v případě zacílení na subjekty údajů mající bydliště na jeho území.
To by dále mělo zahrnovat vyřizování stížností podaných subjekty údajů, provádění šetření ohledně uplatňování tohoto nařízení a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech, pokud jde o zpracování osobních údajů.

- = -

(126) Rozhodnutí by mělo být odsouhlaseno společně vedoucím dozorovým úřadem a dotčenými dozorovými úřady, mělo by být určeno hlavní či jediné provozovně správce nebo zpracovatele a mělo by být pro správce i zpracovatele závazné.
Správce nebo zpracovatel by měl přijmout opatření nezbytná k zajištění souladu s tímto nařízením a provádění rozhodnutí oznámeného vedoucím dozorovým úřadem hlavní provozovně správce nebo zpracovatele, pokud jde o zpracování prováděné v Unii.

- = -

(129) Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud.
Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Členské státy mohou vymezit další úkoly související s ochranou osobních údajů podle tohoto nařízení.
Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými v právu Unie a členského státu, nestranně, spravedlivě a v přiměřených lhůtách.
Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže.
Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky procesního práva členského státu, jako je například požadavek obstarat si předem soudní povolení.
Každé právně závazné opatření dozorového úřadu by mělo mít písemnou formu, být jasné a jednoznačné, uvádět dozorový úřad, který je vydal, a datum svého vydání, mělo by být opatřeno podpisem vedoucího či vedoucím zmocněného člena dozorového úřadu a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu.
Tím by však neměly být vyloučeny další požadavky podle procesního práva členského státu.
Přijetí právně závazného rozhodnutí znamená, že může dojít k soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.

- = -

(140) Sboru by měl být nápomocen sekretariát, jehož služby zajistí evropský inspektor ochrany údajů.
Pracovníci evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením by měli své úkoly plnit výhradně na základě pokynů a pod vedením předsedy sboru.

- = -

(146) Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel.
Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost.
Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení.
Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu.
Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení.
Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly.
Jsou-li správci nebo zpracovatelé zapojeni do téhož zpracování, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou újmu.
Jsou-li však tito správci nebo zpracovatelé v souladu s právem členského státu spojeni v tomtéž řízení, může být náhrada újmy rozvržena podle odpovědnosti každého správce nebo zpracovatele za újmu způsobenou zpracováním, za podmínky, že je zajištěno úplné a účinné odškodnění subjektu údajů, jenž újmu utrpěl.
Kterýkoli správce nebo zpracovatel, který uhradil plnou náhradu újmy, může následně zahájit soudní řízení proti jiným správcům nebo zpracovatelům zapojeným do téhož zpracování.

- = -

(151) Právní systémy Dánska a Estonska neumožňují uložení správních pokut v podobě stanovené tímto nařízením.
Pravidla týkající se správních pokut mohou být uplatňována tak, že v Dánsku pokutu uloží příslušný vnitrostátní soud jakožto trestní sankci a v Estonsku pokutu uloží dozorový úřad v přestupkovém řízení, pokud takové uplatnění pravidel má v uvedených členských státech účinek, který je rovnocenný správním pokutám uloženým dozorovými úřady.
Příslušné vnitrostátní soudy by tedy měly zohlednit doporučení dozorového úřadu, který dal podnět k uložení pokuty.
Uložené pokuty by v každém případě měly být účinné, přiměřené a odrazující.

- = -

(152) Nejsou-li správní sankce harmonizovány tímto nařízením nebo v případě potřeby v jiných případech, jako jsou závažná porušení tohoto nařízení, měly by členské státy zavést systém, který zajistí uložení účinných, přiměřených a odrazujících pokut.
Povaha těchto trestních nebo správních sankcí by měla být stanovena právem členského státu.

- = -

(167) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením.
Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011.
Komise by v této souvislosti měla zvážit zvláštní opatření, pokud jde o mikropodniky a malé a střední podniky.

- = -

(171) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena.
Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost.
Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení.
Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena.

- = -

(173) Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracování osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici Evropského parlamentu a Rady 2002/58/ES (18) a sledující stejný cíl, včetně povinností správce a práv fyzických osob.
Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být uvedená směrnice odpovídajícím způsobem změněna.
Jakmile bude toto nařízení přijato, směrnice 2002/58/ES by měla být podrobena přezkumu, zejména s cílem zajistit soudržnost s tímto nařízením,

- = -

dal 2004 diritto e informatica