interactive GDPR 2016/0679 CS

1. Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.

2. Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

3. Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

Článek 23

Omezení

1. Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:

a)	národní bezpečnost;

obranu;

c)	veřejnou bezpečnost;

d)	prevenci, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

e)	jiné důležité cíle obecného veřejného zájmu Unie nebo členského státu, zejména důležitý hospodářský nebo finanční zájem Unie nebo členského státu, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

f)	ochranu nezávislosti soudnictví a soudních řízení;

g)	prevenci, vyšetřování, odhalování a stíhání porušování etických pravidel regulovaných povolání;

h)	monitorovací, inspekční nebo regulační funkci spojenou, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až e) a g);

i)	ochranu subjektu údajů nebo práv a svobod druhých;

j)	vymáhání občanskoprávních nároků.

2. Každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:

a)	účely zpracování nebo kategorie zpracování;

b)	kategorie osobních údajů;

c)	rozsah zavedených omezení;

d)	záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

e)	specifikaci správců nebo kategorie správců;

f)	doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;

g)	rizika z hlediska práv a svobod subjektů údajů; a

h)	právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.

KAPITOLA IV

Správce a zpracovatel

Oddíl 1

obecné povinnosti

Článek 28

Zpracovatel

1. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.

2. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.

3. Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:

zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;

b)	zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;

c)	přijme všechna opatření požadovaná podle článku 32;

d)	dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;

e)	zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;

f)	je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;

g)	v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;

h)	poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Pokud jde o první pododstavec písm. h), informuje zpracovatel neprodleně správce v případě, že podle jeho názoru určitý pokyn porušuje toto nařízení nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.

4. Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.

5. Jedním z prvků, jimiž lze doložit dostatečné záruky podle odstavců 1 a 4 tohoto článku, je skutečnost, že zpracovatel dodržuje schválený kodex chování uvedených v článku 40 nebo schválený mechanismus pro vydávání osvědčení uvedený v článku 42.

6. Aniž jsou dotčeny individuální smlouvy mezi správcem a zpracovatelem, mohou být smlouvy nebo jiné právní akty podle odstavců 3 a 4 tohoto článku založeny zcela nebo částečně na standardních smluvních doložkách podle odstavců 7 a 8 tohoto článku, mimo jiné i v případě, že jsou součástí osvědčení uděleného správci či zpracovateli podle článků 42 a 43.

7. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky stanovit Komise přezkumným postupem podle čl. 93 odst. 2.

8. Pro záležitosti uvedené v odstavcích 3 a 4 tohoto článku může standardní smluvní doložky přijmout dozorový úřad v souladu s mechanismem jednotnosti uvedeným v článku 63.

9. Smlouva nebo jiný právní akt podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.

10. Aniž jsou dotčeny články 82, 83 a 84, pokud zpracovatel poruší toto nařízení tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.

Článek 35

Posouzení vlivu na ochranu osobních údajů

1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)	systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)	rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo

c)	rozsáhlé systematické monitorování veřejně přístupných prostorů.

4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.

5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.

6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.

7. Posouzení obsahuje alespoň:

a)	systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;

b)	posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)	posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

d)	plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.

10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.

11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 45

Předání založené na rozhodnutí o odpovídající ochraně

1. Předávání osobních údajů do určité třetí země nebo určité mezinárodní organizaci se může uskutečnit, jestliže Komise rozhodla, že tato třetí země, určité území nebo jedno či více konkrétních odvětví v této třetí zemi, nebo tato mezinárodní organizace zajišťují odpovídající úroveň ochrany. Takovéto předání nevyžaduje žádné zvláštní povolení.

2. Při posuzování odpovídající úrovně ochrany vezme Komise v úvahu zejména tyto prvky:

právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, obecné i odvětvové, včetně těch, které se týkají veřejné bezpečnosti, obrany, národní bezpečnosti a trestního práva a přístupu orgánů veřejné moci k osobním údajům, jakož i provádění těchto právních předpisů, pravidla ochrany údajů, profesní pravidla a související bezpečnostní opatření, včetně pravidel dalšího předávání osobních údajů do další třetí země nebo mezinárodní organizaci, která jsou v dané třetí zemi nebo mezinárodní organizaci dodržována, judikaturu, jakož i existenci účinných a vymahatelných práv subjektu údajů a účinné správní a soudní ochrany pro subjekty údajů, jejichž osobní údaje se předávají;

existenci a účinné fungování jednoho nebo více nezávislých dozorových úřadů, které působí v dané třetí zemi nebo kterým podléhá daná mezinárodní organizace, příslušných zajišťovat a vymáhat souladu s pravidly pro ochranu údajů, včetně přiměřených vymáhacích pravomocí, poskytovat pomoc a poradenství subjektům údajů při výkonu jejich práv a spolupracovat s dozorovými úřady členských států, a

c)	mezinárodní závazky, které daná třetí země nebo mezinárodní organizace přijala, nebo jiné závazky vyplývající z právně závazných úmluv nebo nástrojů, jakož i z její účasti v mnohostranných či regionálních systémech, zejména pokud jde o ochranu osobních údajů.

3. Komise může po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku. Uvedený prováděcí akt stanoví mechanismus pro pravidelný přezkum prováděný nejméně každé čtyři roky, který zohlední veškerý relevantní vývoj v dotčené třetí zemi nebo mezinárodní organizaci. Stanoví také svou územní a odvětvovou působnost a případně určí dozorový úřad nebo úřady uvedené v odst. 2 písm. b) tohoto článku. Tento prováděcí akt se přijímá přezkumným postupem podle čl. 93 odst. 2.

4. Komise průběžně sleduje vývoj ve třetích zemích a mezinárodních organizacích, jenž by mohl ovlivnit fungování rozhodnutí přijatých podle odstavce 3 tohoto článku a rozhodnutí přijatých na základě čl. 25 odst. 6 směrnice 95/46/ES.

5. Komise v případě, že to vyplyne z dostupných informací, zejména na základě přezkumu uvedeného v odstavci 3 tohoto článku, rozhodne, že určitá třetí země, určité území nebo konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany ve smyslu odstavce 2 tohoto článku, v nezbytné míře rozhodnutí uvedené v odstavci 3 tohoto článku prováděcími akty bez zpětné působnosti zruší nebo změní anebo pozastaví jeho použitelnost. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

V závažných, naléhavých a řádně odůvodněných případech přijme Komise postupem podle čl. 93 odst. 3 okamžitě použitelné prováděcí akty.

6. Komise zahájí s danou třetí zemí nebo mezinárodní organizací konzultace s cílem napravit stav, který vedl k rozhodnutí podle odstavce 5.

7. Rozhodnutím podle odstavce 5 tohoto článku není dotčeno předávání osobních údajů do dané třetí země, na určité území nebo jednomu nebo více konkrétním odvětvím v dané třetí zemi nebo dané mezinárodní organizaci podle článků 46 až 49.

8. Komise zveřejní v Úředním věstníku Evropské unie a na svých internetových stránkách seznam třetích zemí, území a konkrétních odvětví ve třetích zemích a mezinárodních organizací, v nichž podle jejího rozhodnutí odpovídající úroveň ochrany je, nebo naopak již není zajištěna.

9. Rozhodnutí přijatá Komisí na základě čl. 25 odst. 6 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 3 nebo 5 tohoto článku.

Článek 53

obecné podmínky pro členy dozorového úřadu

1. Členské státy stanoví, že každý člen jejich dozorových úřadů je jmenován transparentním způsobem:

—	parlamentem,

—

vládou,

—	hlavou státu, nebo

—	nezávislým subjektem, kterému toto jmenování svěří právo členského státu.

2. Každý člen musí mít kvalifikaci, zkušenosti a dovednosti, zejména v oblasti ochrany osobních údajů, potřebné k plnění svých povinností a výkonu svých pravomocí.

3. Povinnosti člena končí uplynutím jeho funkčního období, odstoupením nebo povinným odchodem do důchodu v souladu s právem daného členského státu.

4. Člena může být odvolán pouze v případě závažného pochybení nebo pokud přestane splňovat podmínky pro plnění svých povinností.

Článek 83

obecné podmínky pro ukládání správních pokut

1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.

2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:

a)	povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;

b)	zda k porušení došlo úmyslně nebo z nedbalosti;

c)	kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů;

d)	míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;

e)	veškerá relevantní předchozí porušení správcem či zpracovatelem;

f)	míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;

g)	kategorie osobních údajů dotčené daným porušením;

h)	způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře;

i)	v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření;

j)	dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 a

k)	jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

a)	povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43;

b)	povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43;

c)	povinnosti subjektu pro vydávání osvědčení podle čl. 41 odst. 4.

5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:

a)	základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;

b)	práva subjektů údajů podle článků 12 až 22;

c)	předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49;

d)	jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX;

e)	nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.

6. Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.

7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.

8. Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.

9. Neumožňuje-li právo členského státu uložení správních pokut, může se použít tento článek tak, aby podnět k uložení pokuty dal příslušný dozorový úřad a aby pokuta byla uložena příslušnými vnitrostátními soudy, a současně je třeba zajistit, aby tyto prostředky právní ochrany byly účinné a aby jejich účinek byl rovnocenný se správními pokutami, jež ukládají dozorové úřady. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Tyto členské státy oznámí Komisi do 25. května 2018 příslušná ustanovení svých právních předpisů, která přijmou podle tohoto odstavce, a bez prodlení jakékoliv následné novely nebo změny týkající se těchto ustanovení.

Článek 99

Vstup v platnost a použitelnost

1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2. Toto nařízení se použije ode dne 25. května 2018.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 27. dubna 2016.

Za Evropský parlament

předseda

M. SCHULZ

Za Radu

předsedkyně

J.A. HENNIS-PLASSCHAERT

(1) Úř. věst. C 229, 31.7.2012, s. 90.

(2) Úř. věst. C 391, 18.12.2012, s. 127.

(3) Postoj Evropského parlamentu ze dne 12. března 2014 (dosud nezveřejněný v Úředním věstníku) a postoj Rady v prvním čtení ze dne 8. dubna 2016 (dosud nezveřejněný v Úředním věstníku). Postoj Evropského parlamentu ze dne 14. dubna 2016.

(4) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, 23.11.1995, s. 31).

(5) Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků (C(2003) 1422) (Úř. věst. L 124, 20.5.2003, s. 36).

(6) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(7) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (viz strana 89 v tomto čísle Úředního věstníku).

(8) Směrnice Evropského parlamentu a Rady 2000/31/ES ze dne 8. června 2000 o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu (směrnice o elektronickém obchodu) (Úř. věst. L 178, 17.7.2000, s. 1).

(9) Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. L 88, 4.4.2011, s. 45).

(10) Směrnice Rady 93/13/EHS ze dne 5. dubna 1993 o nepřiměřených podmínkách ve spotřebitelských smlouvách (Úř. věst. L 95, 21.4.1993, s. 29).

(11) Nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 ze dne 16. prosince 2008 o statistice Společenství v oblasti veřejného zdraví a bezpečnosti a ochrany zdraví při práci (Úř. věst. L 354, 31.12.2008, s. 70).

(12) Nařízení Evropského parlamentu a Rady (EU) č 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(13) Nařízení Evropského parlamentu a Rady (EU) č. 1215/2012 ze dne 12. prosince 2012 o příslušnosti a uznávání a výkonu soudních rozhodnutí v občanských a obchodních věcech (Úř. věst. L 351, 20.12.2012, s. 1).

(14) Směrnice Evropského parlamentu a Rady 2003/98/ES ze dne 17. listopadu 2003 o opakovaném použití informací veřejného sektoru (Úř. věst. L 345, 31.12.2003, s. 90).

(15) Nařízení Evropského parlamentu a Rady (EU) č. 536/2014 ze dne 16. dubna 2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES (Úř. věst. L 158, 27.5.2014, s. 1).

(16) Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství (Úř. věst. L 87, 31.3.2009, s. 164).

(17) Úř. věst. C 192, 30.6.2012, s. 7.

(18) Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37).

(19) Směrnice Evropského parlamentu a Rady (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti (Úř. věst. L 241, 17.9.2015, s. 1).

(20) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30).

(21) Nařízení Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (Úř. věst. L 145, 31.5.2001, s. 43).

whereas

(29) S cílem vytvořit pobídky pro uplatňování pseudonymizace při zpracování osobních údajů by opatření pseudonymizace při současném umožnění obecné analýzy měla být možná v rámci téhož správce, pokud tento správce přijal technická a organizační opatření nezbytná k zajištění toho, aby bylo v případě daného zpracování provedeno toto nařízení a aby doplňkové informace pro přiřazení osobních údajů konkrétnímu subjektu údajů byly uchovány samostatně.
Správce, který zpracovává osobní údaje, by rovněž měl označit oprávněné osoby v rámci téhož správce.

- = -

(31) Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí.
Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.

- = -

(45) Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu.
Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování.
Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující.
Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování.
Toto právo by dále mohlo upřesnit obecné podmínky nařízení, kterými se řídí zákonnost zpracování osobních údajů, stanovit podrobnosti týkající se určení správce, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje sdělit, účelového omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování.
Právo Unie nebo členského státu by rovněž mělo stanovit, zda by správcem plnícím úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být orgán veřejné moci nebo jiná veřejnoprávní právnická osoba, nebo pokud je to odůvodněno veřejným zájmem, včetně oblasti zdraví, jako je veřejné zdraví a sociální ochrana a řízení zdravotnických služeb, fyzická osoba či soukromoprávní právnická osoba, například profesní sdružení.

- = -

(48) Správci, kteří jsou součástí skupiny podniků nebo instituce přidružené k ústřednímu orgánu, mohou mít oprávněný zájem na předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků či zaměstnanců.
obecné zásady pro předávání osobních údajů v rámci skupiny podniků do podniku nacházejícího se ve třetí zemi zůstávají nedotčeny.

- = -

(51) Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody.
Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov „rasový původ“ v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras.
Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby.
Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce.
Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování.
Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

- = -

(53) Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů, což zahrnuje zpracování těchto údajů vedoucími pracovníky a ústředními vnitrostátními zdravotnickými orgány pro účely kontroly kvality, správy informací a obecného vnitrostátního a místního dozoru nad systémem zdravotní nebo sociální péče, a zajištění kontinuity zdravotní nebo sociální péče a přeshraniční zdravotní péče nebo zdravotní bezpečnosti, pro účely monitorování a varování nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie nebo členského státu, které musí být ve veřejném zájmu, jakož i pro studie prováděné ve veřejném zájmu v oblasti veřejného zdraví.
Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů.
Právo Unie nebo členského státu by mělo stanovit zvláštní a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob. Členské státy by měly mít možnost zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu.
To by však nemělo omezovat volný pohyb osobních údajů v rámci Unie, pokud se tyto podmínky uplatní na přeshraniční zpracování takových údajů.

- = -

(61) Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu.
Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci.
Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním.
Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.

- = -

(73) Právo Unie nebo členského státu může uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, práva vznést námitku, rozhodnutí založených na profilování, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a pro předcházení porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, vedení veřejných rejstříků z důvodů obecného veřejného zájmu, dalšího zpracování archivovaných osobních údajů s cílem poskytnout konkrétní informace související s politickým chováním za bývalého totalitního režimu nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů.
Tato omezení by měla být v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.

- = -

(104) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva.
Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi.
Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích.
Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.

- = -

(121) obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právním předpisem, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády nebo člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu.
V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.
Dozorový úřad by měl mít vlastní pracovníky, které vybere dozorový úřad nebo nezávislý orgán zřízený podle práva členského státu a kteří by měli podléhat výhradně vedení člena či členů daného dozorového úřadu.

- = -

(153) Právo členského státu by měly uvádět pravidla upravující svobodu projevu a informací, včetně novinářského, akademického, uměleckého nebo literárního projevu, do souladu s právem na ochranu osobních údajů podle tohoto nařízení.
Na zpracování osobních údajů prováděné výhradně pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu by se měly vztahovat odchylky nebo výjimky z některých ustanovení tohoto nařízení, je-li to nutné za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu a informací, jak je zakotveno v článku 11 Listiny.
To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření stanovující výjimky a odchylky nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto výjimky a odchylky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, nezávislé dozorové úřady a na spolupráci a jednotné použití a zvláštní případy zpracování osobních údajů.
Pokud se tyto výjimky a odchylky v jednotlivých členských státech liší, mělo by se použít právo členského státu, které se na správce vztahuje.
Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika, šířeji.

- = -

dal 2004 diritto e informatica