interactive GDPR 2016/0679 CS

1. Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.

2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí:

a)	s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo

b)	s monitorováním jejich chování, pokud k němu dochází v rámci Unie.

3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného.

Článek 9

Zpracování zvláštních kategorií osobních údajů

1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

a)	subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů;

c)	zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;

e)	zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;

f)	zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí;

g)	zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;

zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 4;

zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství;

zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.

3. Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pro účely uvedené v odst. 2 písm. h), jsou-li tyto údaje zpracovány pracovníkem vázaným služebním tajemstvím nebo na jeho odpovědnost podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány nebo jinou osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány.

4. Členské státy mohou zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.

Článek 14

Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

a)	totožnost a kontaktní údaje správce a případně jeho zástupce;

b)	případně kontaktní údaje případného pověřence pro ochranu osobních údajů;

c)	účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)	kategorie dotčených osobních údajů;

e)	případné příjemce nebo kategorie příjemců osobních údajů;

případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

a)	doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)	oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

c)	existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

d)	pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

e)	existence práva podat stížnost u dozorového úřadu;

f)	zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

g)	skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3. Správce poskytne informace uvedené v odstavcích 1 a 2:

a)	v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b)	nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo

c)	nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5. Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:

a)	subjekt údajů již uvedené informace má;

se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;

c)	je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo

d)	osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.

Článek 33

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

2. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

3. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:

a)	popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b)	jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;

c)	popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d)	popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

4. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

5. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

Článek 34

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

2. V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 33 odst. 3 písm. b), c) a d).

3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

a)	správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

b)	správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c)	vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

Oddíl 3

Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

Článek 35

Posouzení vlivu na ochranu osobních údajů

1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)	systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)	rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo

c)	rozsáhlé systematické monitorování veřejně přístupných prostorů.

4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.

5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.

6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.

7. Posouzení obsahuje alespoň:

a)	systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;

b)	posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)	posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

d)	plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.

10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.

11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 60

Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady

1. Vedoucí dozorový úřad spolupracuje s ostatními dotčenými dozorovými úřady v souladu s tímto článkem ve snaze dosáhnout konsensu. Vedoucí dozorový úřad a dotčené dozorové úřady si vzájemně vyměňují veškeré relevantní informace.

2. Vedoucí dozorový úřad může kdykoliv požádat další dotčené dozorové úřady o poskytnutí vzájemné pomoci podle článku 61 a může provádět společné postupy podle článku 62, zejména pokud jde o vedení šetření nebo monitorování provádění opatření týkajících se správce či zpracovatele usazených v jiném členském státě.

3. Vedoucí dozorový úřad neprodleně sdělí relevantní informace o dané záležitosti ostatním dotčeným dozorovým úřadům. Neprodleně předloží ostatním dotčeným dozorovým úřadům návrh rozhodnutí, aby se k němu vyjádřily, a řádně zohlední jejich stanoviska.

4. Pokud ve lhůtě čtyř týdnů kterýkoliv z ostatních dotčených dozorových úřadů poté, co byl v souladu s odstavcem 3 tohoto článku konzultován, vznese k návrhu rozhodnutí relevantní a odůvodněnou námitku, postoupí vedoucí dozorový úřad v případě, že relevantní a odůvodněnou námitku nesdílí nebo ji považuje za irelevantní či nedůvodnou, záležitost k řešení v rámci mechanismu jednotnosti uvedeného v článku 63.

5. Pokud má vedoucí dozorový úřad v úmyslu vznesenou relevantní a odůvodněnou námitku zohlednit, předloží ostatním dotčeným dozorovým úřadům revidovaný návrh rozhodnutí k vyjádření. Tento revidovaný návrh rozhodnutí podléhá postupu uvedenému v odstavci 4 v rámci dvoutýdenní lhůty.

6. Pokud ve lhůtě uvedené v odstavcích 4 a 5 nevznesl žádný z ostatních dotčených dozorových úřadů námitku proti návrhu rozhodnutí předloženému vedoucím dozorovým úřadem, má se za to, že vedoucí dozorový úřad a dotčené dozorové úřady s tímto návrhem rozhodnutí souhlasí a toto rozhodnutí je pro ně závazné.

7. Vedoucí dozorový úřad dané rozhodnutí přijme, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele a o daném rozhodnutí včetně shrnutí relevantních skutečností a důvodů informuje ostatní dotčené dozorové úřady a sbor. Dozorový úřad, u nějž byla podána stížnost, informuje o daném rozhodnutí stěžovatele.

8. Odchylně od odstavce 7, pokud je stížnost odmítnuta nebo zamítnuta, přijme rozhodnutí dozorový úřad, u nějž byla stížnost podána; tento úřad oznámí rozhodnutí stěžovateli a informuje o něm správce.

9. Pokud se vedoucí dozorový úřad a dotčené dozorové úřady shodnou na tom, že určité části stížnosti odmítnou nebo zamítnou a že budou reagovat na jiné části této stížnosti, přijme se pro každou z těchto částí dané věci samostatné rozhodnutí. Vedoucí dozorový úřad přijme rozhodnutí o části týkající se úkonů souvisejících se správcem, ohlásí je hlavní nebo jediné provozovně správce či zpracovatele na území svého členského státu a informuje o něm stěžovatele, zatímco dozorový úřad stěžovatele přijme rozhodnutí o části týkající se odmítnutí či zamítnutí této stížnosti, oznámí je danému stěžovateli a informuje o něm správce nebo zpracovatele.

10. Poté, co mu bylo oznámeno rozhodnutí vedoucího dozorového úřadu podle odstavců 7 a 9, přijme správce nebo zpracovatel opatření nezbytná k zajištění souladu s daným rozhodnutím, pokud jde o činnosti zpracování prováděné v souvislosti se všemi jeho provozovnami v Unii. Správce nebo zpracovatel oznámí opatření přijatá k zajištění souladu s daným rozhodnutí vedoucímu dozorovému úřadu, který o tom informuje ostatní dotčené dozorové úřady.

11. Pokud má za výjimečných okolností dotčený dozorový úřad důvody se domnívat, že je třeba naléhavě jednat, aby byly ochráněny zájmy subjektů údajů, použije se postup pro naléhavé případy podle článku 66.

12. Vedoucí dozorový úřad a ostatní dotčené dozorové úřady si vzájemně poskytují informace požadované podle tohoto článku, a to v elektronické formě za použití standardizovaného formátu.

Článek 78

Právo na účinnou soudní ochranu vůči dozorovému úřadu

1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.

3. Řízení proti dozorovému úřadu se zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

4. Je-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí sboru v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu.

Článek 79

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.

Článek 92

Výkon přenesené pravomoci

1. Pravomoc přijímat akty v přenesené pravomoci svěřená Komisi podléhá podmínkám stanoveným v tomto článku.

2. Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 12 odst. 8 a čl. 43 odst. 8 je svěřena Komisi na dobu neurčitou počínaje dnem 24. května 2016.

3. Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 12 odst. 8 a čl. 43 odst. 8 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm blíže určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4. Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

5. Akt v přenesené pravomoci přijatý podle čl. 12 odst. 8 a čl. 43 odst. 8 vstoupí v platnost, pouze pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.

whereas

(19) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie.
Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely.
Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 (7). Členské státy mohou pověřit příslušné orgány ve smyslu směrnice (EU) 2016/680 i úkoly, které nemusí být nutně prováděny za účelem předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do působnosti práva Unie, spadalo do oblasti působnosti tohoto nařízení.

- = -

(24) Na zpracování osobních údajů subjektů údajů nacházejících se v Unii správcem nebo zpracovatelem, který není v Unii usazen, by se rovněž mělo vztahovat toto nařízení, pokud souvisí s monitorováním chování takových subjektů údajů v rozsahu, v němž k tomuto chování dochází v Unii.
Aby se určilo, zda může být činnost zpracování považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného použití technik zpracování osobních údajů, které spočívají v profilování fyzické osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování.

- = -

(36) Hlavní provozovnou správce v Unii by mělo být místo, kde se nachází jeho ústřední správa v Unii, ledaže by rozhodnutí ohledně účelů a prostředků zpracování osobních údajů byla přijímána v jiné provozovně správce v Unii, a v tom případě by za hlavní provozovnu měla být považována tato jiná provozovna.
Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií.
Jedním z nich by měl být účinný a skutečný výkon řídících činností rozhodujících pro hlavní rozhodnutí ohledně účelů a prostředků zpracování v rámci stálého zařízení.
Toto kritérium by nemělo záviset na tom, zda je zpracování osobních údajů prováděno na tomto místě.
Existence a používání technických prostředků a technologií pro zpracování osobních údajů ani činnosti zpracování nezakládají samy o sobě hlavní provozovnu, a proto nejsou rozhodujícími kritérii pro její určení.
Hlavní provozovna zpracovatele by měla být místem, kde se nachází jeho ústřední správa v Unii, nebo pokud v Unii nemá ústřední správu, pak místem, kde jsou v Unii prováděny hlavní činnosti zpracování.
V případech týkajících se správce i zpracovatele by příslušným vedoucím dozorovým úřadem měl i nadále být dozorový úřad členského státu, v němž má správce hlavní provozovnu, avšak dozorový úřad zpracovatele by měl být považován za dotčený dozorový úřad a účastnit se postupu spolupráce stanoveného tímto nařízením.
Dozorové úřady členského státu nebo členských států, v nichž má zpracovatel jednu nebo více provozoven, by v žádném případě neměly být považovány za dotčené dozorové úřady, pokud se návrh rozhodnutí týká pouze správce.
Pokud zpracování provádí skupina podniků, měly by být za hlavní provozovnu této skupiny považována hlavní provozovna řídícího podniku, s výjimkou případů, kdy účely a způsob zpracování určuje jiný podnik.

- = -

(37) Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci prosazovat pravidla týkající se ochrany osobních údajů.
Podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, by měl být společně s těmito podniky považován za skupinu podniků.

- = -

(50) Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny.
V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů.
Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie nebo členského státu určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné.
Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování.
Právní základ pro zpracování osobních údajů podle práva Unie nebo členského státu může rovněž posloužit jako právní základ pro další zpracování.
S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.

- = -

(60) Zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech.
Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány.
Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích.
Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí.
Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem přehled o zamýšleném zpracování.
Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.

- = -

(68) Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci.
Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů.
Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy.
Nemělo by se uplatňovat v případě, kdy je zpracování založeno na jiném právním důvodu, než je souhlas nebo smlouva.
Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci.
Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování.
Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.
Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění.
Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému.

- = -

(70) Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování.
Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací.

- = -

(80) Pokud správce nebo zpracovatel, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které se nacházejí v Unii, a tyto činnosti zpracování souvisejí s nabídkou zboží nebo služeb takovým subjektům údajů v Unii bez ohledu na to, zda je vyžadována platba subjektu údajů, nebo souvisejí s monitorováním jejich chování v rozsahu, v němž k tomuto chování dochází v Unii, měl by daný správce nebo zpracovatel jmenovat svého zástupce, ledaže by dotčené zpracování bylo příležitostné, nezahrnovalo by rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů a bylo by nepravděpodobné, že by s ohledem na svou povahu, souvislosti, rozsah a účely mohlo toto zpracování představovat riziko pro práva a svobody fyzických osob, nebo ledaže by správce byl orgánem veřejné moci nebo veřejným subjektem.
Zástupce by měl jednat jménem správce nebo zpracovatele a může se něj obracet kterýkoliv dozorový úřad.
Zástupce by měl být výslovně jmenován na základě písemného zmocnění správcem nebo zpracovatelem, aby jednal jejich jménem v souvislosti s povinnostmi správce nebo zpracovatele stanovenými tímto nařízením.
Jmenováním tohoto zástupce není dotčena odpovědnost správce nebo zpracovatele podle tohoto nařízení.
Zástupce by měl vykonávat své úkoly podle zmocnění uděleného správcem nebo zpracovatelem, mimo jiné by měl spolupracovat s příslušnými dozorovými úřady při jakémkoliv úkonu prováděném s cílem zajistit soulad s tímto nařízením.
Vůči jmenovanému zástupci by se v případě neplnění povinností správcem nebo zpracovatelem mělo uplatnit vymáhací řízení.

- = -

(85) Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob.
Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob.
Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení.

- = -

(91) To by mělo platit zejména pro rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko, například vzhledem k jejich citlivosti, pokud se v souladu s dosaženou úrovní technických znalostí použije ve velkém rozsahu nová technologie, jakož i pro jiné operace zpracování, které představují vysoké riziko pro práva a svobody subjektů údajů, zejména v případech, kdy s ohledem na tyto operace je pro subjekty údajů obtížnější uplatnit svá práva.
Posouzení vlivu na ochranu osobních údajů by mělo být vypracováno i v případech, kdy se osobní údaje zpracovávají za účelem přijetí rozhodnutí o konkrétních fyzických osobách v návaznosti na jakékoliv systematické a rozsáhlé hodnocení osobních aspektů týkajících se fyzických osob na základě profilování těchto údajů nebo v návaznosti na zpracování zvláštních kategorií osobních údajů, biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních.
Posouzení vlivu na ochranu osobních údajů je rovněž zapotřebí v případě monitorování veřejně přístupných prostor prováděného ve velkém rozsahu, zejména pokud se k němu používá optických elektronických přístrojů, nebo v případě jakýchkoliv jiných operací, kdy má příslušný dozorový úřad za to, že je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody subjektů údajů, zejména proto, že tyto úkony brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy, nebo proto, že jsou prováděny systematicky a ve velkém rozsahu.
Zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky.
V takových případech by posouzení vlivu na ochranu osobních údajů nemělo být povinné.

- = -

(128) Pravidla týkající se vedoucího dozorového úřadu a mechanismu jediného kontaktního místa by se neměla vztahovat na případy, kdy zpracování provádějí orgány veřejné moci nebo soukromé subjekty ve veřejném zájmu.
V takových případech by jediným dozorovým úřadem příslušným k výkonu pravomocí, které mu byly svěřeny podle tohoto nařízení, měl být dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen.

- = -

(131) V případech, kdy by měl jiný dozorový úřad jednat jako vedoucí dozorový úřad pro činnosti zpracování prováděné správcem nebo zpracovatelem, ale kdy se konkrétní předmět stížnosti nebo možné porušení týkají pouze činností zpracování prováděných správcem či zpracovatelem v tom členském státě, v němž byla stížnost podána nebo zjištěno možné porušení, a daná záležitost se podstatným způsobem nedotýká či pravděpodobně nedotkne subjektů údajů v dalších členských státech, by dozorový úřad, jenž obdržel stížnost nebo odhalil situace, které představují možné porušení tohoto nařízení, nebo byl o těchto situacích informován jiným způsobem, měl usilovat o smírné řešení se správcem, a nebude-li v tomto úsilí úspěšný, měl by uplatnit veškerou škálu svých pravomocí.
Mělo by sem mimo jiné patřit zvláštní zpracování prováděné na území členského státu daného dozorového úřadu nebo zpracování týkající se subjektů údajů na území tohoto členského státu, zpracování prováděné v souvislosti s nabídkou zboží nebo služeb konkrétně zaměřenou na subjekty údajů na území členského státu daného dozorového úřadu, nebo zpracování, které musí být posouzeno s ohledem na příslušné právní závazky podle práva členského státu.

- = -

(143) Každá fyzická nebo právnická osoba má právo podat žalobu na neplatnost rozhodnutí sboru u Soudního dvora za podmínek stanovených v článku 263 Smlouvy o fungování EU.
Jakožto orgány, jimž jsou taková rozhodnutí určena, musí dotčené dozorové úřady, které chtějí tato rozhodnutí napadnout, v souladu s článkem 263 Smlouvy o fungování EU žalobu podat ve lhůtě dvou měsíců ode dne, kdy jim byla rozhodnutí oznámena.
Pokud se rozhodnutí sboru bezprostředně a osobně dotýkají správce, zpracovatele nebo stěžovatele, mohou tyto osoby podat žalobu na neplatnost těchto rozhodnutí a v souladu s článkem 263 Smlouvy o fungování EU ve lhůtě dvou měsíců od jejich zveřejnění na internetových stránkách sboru.
Aniž je dotčeno toto právo podle článku 263 Smlouvy o fungování EU, měla by mít každá fyzická nebo právnická osoba právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky.
Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností.
Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu.
Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.

- = -

dal 2004 diritto e informatica