interactive GDPR 2016/0679 CS

b)	hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c)	hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

2. Skupina podniků může jmenovat jediného pověřence pro ochranu osobních údajů, pokud je snadno dosažitelný z každého podniku.

3. Je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů.

4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.

5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.

6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.

7. Správce nebo zpracovatel zveřejní kontaktní údaje pověřence pro ochranu osobních údajů a sdělí je dozorovému úřadu.

Článek 47

Závazná podniková pravidla

1. Příslušný dozorový úřad schvaluje v souladu s mechanismem jednotnosti stanoveným v článku 63 závazná podniková pravidla za předpokladu, že:

a)	jsou právně závazná a platná pro všechny a prosazovaná všemi dotčenými členy skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, včetně jejich zaměstnanců;

b)	subjektům údajů výslovně přiznávají vymahatelná práva v souvislosti se zpracováním jejich osobních údajů; a

c)	splňují požadavky stanovené v odstavci 2.

2. Závazná podniková pravidla uvedená v odstavci 1 vymezují přinejmenším:

a)	strukturu a kontaktní údaje skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a každého z jejích členů;

b)	předání údajů nebo soubor předání, včetně kategorií osobních údajů, typu zpracování a jeho účelů, typu dotčených subjektů údajů a určení dané třetí země nebo daných třetích zemí;

c)	svoji právně závaznou povahu, a to interně i externě;

použití obecných zásad pro ochranu údajů, zejména účelové omezení, minimalizaci údajů, omezenou dobu uložení, kvalitu údajů, záměrná a standardní ochranu osobních údajů, právní základ pro zpracování, zpracování zvláštních kategorií osobních údajů; opatření k zajištění zabezpečení údajů a požadavky ohledně dalšího předávání subjektům, které podnikovými pravidly nejsou vázány;

práva subjektů údajů v souvislosti se zpracováním jejich osobních údajů a prostředky jejich výkonu, včetně práva nebýt předmětem rozhodnutí založených výhradně na automatizovaném zpracování, včetně profilování v souladu s článkem 22, práva podat stížnost u příslušného dozorového úřadu a příslušných soudů členských států v souladu s článkem 79, právní ochrany a případně i práva na odškodnění v případě porušení závazných podnikových pravidel;

přijetí odpovědnosti správcem nebo zpracovatelem usazeným na území některého členského státu za jakékoli porušení závazných podnikových pravidel kterýmkoli dotčeným členem neusazeným v Unii; správce nebo zpracovatel se může této odpovědnosti zcela nebo zčásti zprostit, pouze pokud prokáže, že za okolnost, jež vedla ke vzniku škody, není daný člen odpovědný;

g)	způsob poskytování informací o závazných podnikových pravidlech, zejména o ustanoveních uvedených v písmenech d), e) a f) tohoto odstavce, subjektům údajů, vedle informací uvedených v článcích 13 a 14;

úkoly všech pověřenců pro ochranu osobních údajů jmenovaných v souladu s článkem 37, nebo jakékoli jiné osoby či subjektu pověřeného monitorováním souladu se závaznými podnikovými pravidly v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a sledování školení a vyřizování stížností;

i)	postupy pro vyřizování stížností;

mechanismy, které mají v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost zajistit ověřování souladu se závaznými podnikovými pravidly. Tyto mechanismy zahrnují audity ochrany údajů a metody zajištění opravných opatření pro ochranu práv subjektu údajů. Výsledky takového ověření by měly být oznámeny osobě nebo subjektu uvedenému v písmenu h) a radě řídícího podniku skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a na požádání by měly být zpřístupněny příslušnému dozorovému úřadu;

k)	mechanismy pro podávání zpráv a pro zaznamenávání změn pravidel a hlášení těchto změn dozorovému úřadu;

l)	mechanismus spolupráce s dozorovým úřadem, který zajistí dodržování pravidel každým členem skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost, zejména zpřístupňování výsledků ověřování opatření uvedených v písmenu j) dozorovému úřadu;

mechanismy pro podávání zpráv příslušnému dozorovému úřadu o právních požadavcích, kterým je člen skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost podřízen ve třetí zemi a které mohou mít podstatný negativní účinek na záruky poskytované závaznými podnikovými pravidly; a

n)	vhodnou odbornou přípravu v oblasti ochrany údajů pro pracovníky, kteří mají k osobním údajům trvalý nebo pravidelný přístup.

3. Komise může u závazných podnikových pravidel ve smyslu tohoto článku určit formát a postupy pro výměnu informací mezi správci, zpracovateli a dozorovými úřady. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 93 odst. 2.

Článek 78

Právo na účinnou soudní ochranu vůči dozorovému úřadu

1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.

2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku.

3. Řízení proti dozorovému úřadu se zahajuje u soudů toho členského státu, v němž je daný dozorový úřad zřízen.

4. Je-li zahájeno řízení proti rozhodnutí dozorového úřadu, kterému předcházelo stanovisko nebo rozhodnutí sboru v rámci mechanismu jednotnosti, dozorový úřad toto stanovisko nebo rozhodnutí předloží soudu.

Článek 79

Právo na účinnou soudní ochranu vůči správci nebo zpracovateli

1. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.

2. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště, s výjimkou případů, kdy je správce nebo zpracovatel orgánem veřejné moci některého členského státu, který jedná v rámci výkonu veřejné moci.

Článek 81

Přerušení řízení

1. Má-li příslušný soud členského státu informace o tom, že u soudu jiného členského státu probíhá řízení týkající se stejného předmětu, pokud jde o zpracování prováděné týmž správcem nebo zpracovatelem, kontaktuje daný soud jiného členského státu, aby existenci takového řízení ověřil.

2. Probíhá-li u soudu jiného členského státu řízení týkající se stejného předmětu, pokud jde o zpracování prováděné týmž správcem nebo zpracovatelem, kterýkoliv z příslušných soudů, u nichž nebylo řízení zahájeno jako první, může své řízení přerušit.

3. Pokud toto řízení probíhá v prvním stupni, kterýkoliv ze soudů, u nichž nebylo řízení zahájeno jako první, se může na návrh jedné ze stran také prohlásit za nepříslušný, je-li soud, u něhož bylo řízení zahájeno jako první, příslušný pro daná řízení a spojení těchto řízení je podle práva státu tohoto soudu přípustné.

Článek 82

Právo na náhradu újmy a odpovědnost

1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.

2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.

3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

4. Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.

5. Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.

6. Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva členského státu uvedeného v čl. 79 odst. 2.

whereas

(20) Toto nařízení se mimo jiné vztahuje na činnost soudů a dalších justičních orgánů, a proto by právo Unie nebo členského státu mohlo stanovit operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány.
Pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování.
Dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu, které by zejména měly zajistit soulad s pravidly tohoto nařízení, posilovat povědomí členů justičních orgánů o jejich povinnostech podle tohoto nařízení a zabývat se stížnostmi souvisejícími s takovými operacemi zpracování.

- = -

(97) Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů.
V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost.
Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem.
Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.

- = -

(115) Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování fyzickými a právnickými osobami spadající do pravomoci členských států.
Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na platných mezinárodních dohodách, jako je například smlouva o vzájemné právní pomoci, mezi danou třetí zemí a Unií nebo členským státem.
Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zajištění ochrany fyzických osob zajištěné v Unii tímto nařízením.
Předání údajů by mělo být povoleno jen tehdy, jsou-li splněny podmínky předání údajů do třetích zemí stanovené v tomto nařízení.
Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie nebo členského státu, které se na správce vztahuje.

- = -

(143) Každá fyzická nebo právnická osoba má právo podat žalobu na neplatnost rozhodnutí sboru u Soudního dvora za podmínek stanovených v článku 263 Smlouvy o fungování EU.
Jakožto orgány, jimž jsou taková rozhodnutí určena, musí dotčené dozorové úřady, které chtějí tato rozhodnutí napadnout, v souladu s článkem 263 Smlouvy o fungování EU žalobu podat ve lhůtě dvou měsíců ode dne, kdy jim byla rozhodnutí oznámena.
Pokud se rozhodnutí sboru bezprostředně a osobně dotýkají správce, zpracovatele nebo stěžovatele, mohou tyto osoby podat žalobu na neplatnost těchto rozhodnutí a v souladu s článkem 263 Smlouvy o fungování EU ve lhůtě dvou měsíců od jejich zveřejnění na internetových stránkách sboru.
Aniž je dotčeno toto právo podle článku 263 Smlouvy o fungování EU, měla by mít každá fyzická nebo právnická osoba právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky.
Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností.
Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu.
Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.

- = -

(145) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci členského státu, který jedná v rámci výkonu veřejné moci.

- = -

dal 2004 diritto e informatica