interactive GDPR 2016/0679 CS

1. Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s tímto nařízením.

2. Je-li v případech uvedených v odstavci 1 tohoto článku správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné. V takovýchto případech se neuplatní články 15 až 20, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci.

KAPITOLA III

Práva subjektu údajů

Oddíl 1

Transparentnost a postupy

Článek 13

Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

a)	totožnost a kontaktní údaje správce a jeho případného zástupce;

b)	případně kontaktní údaje případného pověřence pro ochranu osobních údajů;

c)	účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)	oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

e)	případné příjemce nebo kategorie příjemců osobních údajů;

případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:

a)	doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)	existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c)	pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

d)	existence práva podat stížnost u dozorového úřadu;

e)	skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

f)	skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

4. Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Článek 14

Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:

a)	totožnost a kontaktní údaje správce a případně jeho zástupce;

b)	případně kontaktní údaje případného pověřence pro ochranu osobních údajů;

c)	účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;

d)	kategorie dotčených osobních údajů;

e)	případné příjemce nebo kategorie příjemců osobních údajů;

případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:

a)	doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b)	oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);

c)	existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

d)	pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;

e)	existence práva podat stížnost u dozorového úřadu;

f)	zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

g)	skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3. Správce poskytne informace uvedené v odstavcích 1 a 2:

a)	v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;

b)	nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo

c)	nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.

4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

5. Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:

a)	subjekt údajů již uvedené informace má;

se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;

c)	je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo

d)	osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.

Článek 22

Automatizované individuální rozhodování, včetně profilování

1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

2. Odstavec 1 se nepoužije, pokud je rozhodnutí:

a)	nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;

b)	povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo

c)	založeno na výslovném souhlasu subjektu údajů.

3. v případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.

4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.

Oddíl 5

Omezení

Článek 35

Posouzení vlivu na ochranu osobních údajů

1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

2. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

3. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:

a)	systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b)	rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10; nebo

c)	rozsáhlé systematické monitorování veřejně přístupných prostorů.

4. Dozorový úřad sestaví a zveřejní seznam druhů operací zpracování, které podléhají požadavku na posouzení vlivu na ochranu osobních údajů podle odstavce 1. Dozorový úřad uvedené seznamy předá sboru.

5. Dozorový úřad může rovněž sestavit a zveřejnit seznam druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné. Dozorový úřad uvedené seznamy předá sboru.

6. Před přijetím seznamů podle odstavců 4 a 5 použije příslušný dozorový úřad mechanismus jednotnosti uvedený v článku 63, pokud tyto seznamy zahrnují činnosti zpracování související s nabídkou zboží či služeb subjektům údajů nebo s monitorováním jejich chování v několika členských státech, nebo jestliže dané seznamy mohou výrazně ovlivnit volný pohyb osobních údajů v rámci Unie.

7. Posouzení obsahuje alespoň:

a)	systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;

b)	posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;

c)	posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a

d)	plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

8. Dodržování schválených kodexů chování podle článku 40 příslušnými správci nebo zpracovateli se řádně zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli, zejména pro účely posouzení vlivu na ochranu osobních údajů.

9. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.

10. Pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.

11. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Článek 41

Monitorování schválených kodexů chování

1. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu podle článků 57 a 58, může monitorování souladu s kodexem chování podle článku 40 provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem.

2. Subjekt uvedený v odstavci 1 může být akreditován pro monitorování souladu s kodexem chování, pokud tento subjekt:

a)	prokázal ke spokojenosti příslušného dozorového úřadu svoji nezávislost a odborné znalosti ohledně předmětu kodexu;

b)	stanovil postupy, které mu umožňují posoudit způsobilost dotčených správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování;

c)	stanovil postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinil tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními; a

d)	ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

3. Příslušný dozorový úřad předloží návrh kritérií pro akreditaci subjektu uvedeného v odstavci 1 tohoto článku sboru podle mechanismu jednotnosti uvedeného v článku 63.

4. Aniž jsou dotčeny úkoly a pravomoci příslušného dozorového úřadu a aniž je dotčena kapitola VIII, přijme subjekt uvedený v odstavci 1 tohoto článku s výhradou vhodných záruk v případech porušování kodexu správcem nebo zpracovatelem vhodná opatření, včetně pozastavení účasti daného správce nebo zpracovatele na kodexu nebo jeho vyloučení z této účasti. O těchto opatřeních a důvodech jejich přijetí informuje příslušný dozorový úřad.

5. Příslušný dozorový úřad zruší akreditaci subjektu uvedeného v odstavci 1, jestliže nejsou nebo již přestaly být dodržovány podmínky akreditace nebo jestliže je činnosti tohoto subjektu v rozporu s tímto nařízením.

6. Tento článek se netýká zpracování prováděného orgány veřejné moci a veřejnými subjekty.

Článek 46

Předávání založené na vhodných zárukách

1. Jestliže neexistuje rozhodnutí podle čl. 45 odst. 3, správce nebo zpracovatel mohou předat osobní údaje do třetí země nebo mezinárodní organizaci, pouze pokud správce nebo zpracovatel poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektů údajů.

2. Vhodné záruky uvedené v odstavci 1 mohou být stanoveny, aniž je zapotřebí jakékoli zvláštní povolení dozorového úřadu, pomocí:

a)	právně závazného a vymahatelného nástroje mezi orgány veřejné moci nebo veřejnými subjekty;

b)	závazných podnikových pravidel v souladu s článkem 47;

c)	standardních doložek o ochraně osobních údajů přijatých Komisí přezkumným postupem podle čl. 93 odst. 2;

d)	standardních doložek o ochraně údajů přijatých dozorovým úřadem a schválených Komisí přezkumným postupem podle čl. 93 odst. 2;

e)	schváleného kodexu chování podle článku 40 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů; nebo

f)	schváleného mechanismu pro vydání osvědčení podle článku 42 spolu se závaznými a vymahatelnými závazky správce nebo zpracovatele ve třetí zemi uplatňovat vhodné záruky, a to i ohledně práv subjektů údajů.

3. S výhradou povolení od příslušného dozorového úřadu mohou být vhodné záruky uvedené v odstavci 1 rovněž stanoveny zejména pomocí:

a)	smluvních doložek mezi správcem nebo zpracovatelem a správcem, zpracovatelem nebo příjemcem osobních údajů ve třetí zemi nebo v mezinárodní organizaci; nebo

b)	ustanovení určených k vložení do správních ujednání mezi orgány veřejné moci nebo veřejnými subjekty, která zahrnují vymahatelná a účinná práva subjektu údajů.

4. Dozorový úřad použije mechanismus jednotnosti v případech uvedených v čl. 63 odst. 3 tohoto článku.

5. Povolení členského státu nebo dozorového úřadu na základě čl. 26 odst. 2 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je dozorový úřad v případě potřeby změní, nahradí nebo zruší. Rozhodnutí přijatá Komisí na základě čl. 26 odst. 4 směrnice 95/46/ES zůstávají platná až do chvíle, kdy je Komise podle potřeby změní, nahradí nebo zruší rozhodnutím přijatým podle odstavce 2 tohoto článku.

Článek 57

Úkoly

1. Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:

a)	monitoruje a vymáhá uplatňování tohoto nařízení;

b)	zvyšuje povědomí veřejnosti o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním a podporuje porozumění těmto otázkám. Zvláštní pozornost se přitom věnuje akcím, které jsou určeny speciálně pro děti;

c)	v souladu s právem členského státu poskytuje poradenství vnitrostátnímu parlamentu, vládě a dalším orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod fyzických osob v souvislosti se zpracováním;

d)	podporuje povědomí správců a zpracovatelů o jejich povinnostech podle tohoto nařízení;

e)	na požádání poskytuje všem subjektům údajů informace ohledně výkonu jejich práv podle tohoto nařízení a, je-li to vhodné, spolupracuje za tímto účelem s dozorovými úřady v jiných členských státech;

zabývá se stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem;

g)	s cílem zajistit jednotné uplatňování a prosazování tohoto nařízení spolupracuje s dalšími dozorovými úřady, mimo jiné formou sdílení informací, a s těmito úřady si vzájemně poskytuje pomoc;

h)	provádí šetření o uplatňování tohoto nařízení, mimo jiné na základě informací obdržených od jiného dozorového úřadu či jiného orgánu veřejné moci;

i)	monitoruje vývoj v relevantních oblastech, pokud má vliv na ochranu osobních údajů, zejména vývoj informačních a komunikačních technologií a obchodních praktik;

j)	přijímá standardní smluvní doložky uvedené v čl. 28 odst. 8 a čl. 46 odst. 2 písm. d);

k)	připravuje a udržuje seznam v souvislosti s požadavkem provádět posouzení vlivu na ochranu osobních údajů podle čl. 35 odst. 4;

l)	poskytuje poradenství o operacích zpracování uvedených v čl. 36 odst. 2;

m)	podporuje vypracování kodexů chování podle čl. 40 odst. 1, vydává stanoviska a schvaluje takové kodexy chování, které poskytují dostatečné záruky podle čl. 40 odst. 5;

n)	vybízí k zavedení mechanismů pro vydávání osvědčení o ochraně údajů a pečetí a známek dokládajících ochranu údajů podle čl. 42 odst. 1 a schvaluje kritéria pro vydávání osvědčení podle čl. 42 odst. 5;

o)	případně provádí pravidelný přezkum osvědčení vydaných v souladu s čl. 42 odst. 7;

p)	navrhuje a zveřejňuje kritéria pro schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

q)	provádí schvalování subjektu pro monitorování kodexů chování podle článku 41 a subjektu pro vydávání osvědčení podle článku 43;

r)	schvaluje smluvní doložky a ustanovení uvedené v čl. 46 odst. 3;

s)	schvaluje závazná podniková pravidla podle článku 47;

t)	přispívá k činnostem sboru;

u)	vede interní záznamy o porušeních tohoto nařízení a o opatřeních přijatých podle čl. 58 odst. 2; a

v)	plní veškeré další úkoly související s ochranou osobních údajů.

2. Každý dozorový úřad usnadňuje podávání stížností uvedených v odst. 1 písm. f) takovými opatřeními, jako je poskytnutí formuláře pro podávání stížností, který lze vyplnit i v elektronické formě, aniž jsou vyloučeny jiné komunikační prostředky.

3. Provádění úkolů každého dozorového úřadu je pro subjekty údajů a pro případné pověřence pro ochranu osobních údajů bezplatné.

4. Jestliže jsou požadavky zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může dozorový úřad uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad.

Článek 68

Evropský sbor pro ochranu osobních údajů

1. Zřizuje se Evropský sbor pro ochranu osobních údajů (dále jen „sbor“) jako subjekt Unie s právní subjektivitou.

2. Sbor zastupuje jeho předseda.

3. Sbor tvoří vedoucí jednoho dozorového úřadu z každého členského státu a evropský inspektor ochrany údajů nebo jejich zástupci.

4. Pokud je v některém členském státě za monitorování toho, zda jsou uplatňována ustanovení tohoto nařízení, odpovědný více než jeden dozorový úřad, je v souladu s právem tohoto členského státu jmenován společný zástupce.

5. Komise má právo účastnit se činností a schůzek sboru, aniž by měla hlasovací právo. Komise jmenuje svého zástupce. Předseda sboru informuje Komisi o činnostech sboru.

6. v případech uvedených v článku 65 má evropský inspektor ochrany údajů hlasovací právo pouze pro rozhodnutí týkající se zásad a pravidel použitelných pro orgány, instituce a jiné subjekty Unie, jež v podstatě odpovídají požadavkům tohoto nařízení.

Článek 70

Úkoly sboru

1. Sbor zajišťuje jednotné uplatňování tohoto nařízení. Za tímto účelem sbor z vlastního podnětu nebo případně na žádost Komise zejména:

a)	monitoruje a zajišťuje řádné uplatňování tohoto nařízení v případech uvedených v článcích 64 a 65, aniž jsou dotčeny úkoly vnitrostátních dozorových úřadů;

b)	poskytuje poradenství Komisi ve veškerých záležitostech souvisejících s ochranou osobních údajů v Unii včetně jakýchkoli navrhovaných změn tohoto nařízení;

c)	poskytuje poradenství Komisi ohledně formy a postupů výměny informací mezi správci, zpracovateli a dozorovými úřady pro závazná podniková pravidla;

d)	vydává pokyny, doporučení a osvědčené postupy týkající se postupů pro výmaz odkazů, kopií nebo replikací osobních údajů z veřejně dostupných komunikačních služeb, jak je uvedeno v čl. 17 odst. 2;

e)	prošetřuje z vlastního podnětu, na žádost některého ze svých členů nebo na žádost Komise veškeré otázky týkající se uplatňování tohoto nařízení a vydává pokyny, doporučení a osvědčené postupy, aby podporoval soudržné uplatňování tohoto nařízení;

f)	vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a podmínek, které mají platit pro rozhodnutí založená na profilování podle čl. 22 odst. 2;

g)	vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce, jak zjistit případy porušení zabezpečení osobních údajů a jak určit zbytečný odklad podle čl. 33 odst. 1 a 2 a konkrétní okolnosti, za nichž jsou správce a zpracovatel povinni porušení ohlásit;

h)	vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem b) tohoto odstavce, pokud jde o okolnosti, za jakých je pravděpodobné, že porušení zabezpečení osobních údajů bude mít z následek vysoké riziko pro práva a svobody fyzických osob, jak je uvedeno v čl. 34 odst. 1;

vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě závazných podnikových pravidel, kterými se řídí správci, a závazných podnikových pravidel, kterými se řídí zpracovatelé, a dalších požadavků potřebných k zajištění ochrany osobních údajů dotčených subjektů údajů uvedených v článku 47;

j)	vydává pokyny, doporučení a osvědčené postupy v souladu s písmenem e) tohoto odstavce za účelem dalšího vymezení kritérií a požadavků pro předávání osobních údajů na základě čl. 49 odst. 1;

k)	vypracovává pokyny pro dozorové úřady o uplatňování opatření uvedených v čl. 58 odst. 1, 2 a 3 a stanoví správní pokuty podle článku 83;

l)	přezkoumává praktické uplatňování pokynů, doporučení a osvědčených postupů uvedených v písmenech e) a f);

m)	vydává pokyny, doporučení a osvědčené postupy v souladu písmenem e) tohoto odstavce pro zavedení společných postupů pro podávání zpráv fyzickými osobami v případě porušení tohoto nařízení podle čl. 54 odst. 2;

n)	podporuje vypracování kodexů chování a zavedení mechanismů pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů podle článků 40 a 42;

o)	provádí akreditaci subjektů pro vydávání osvědčení a její pravidelný přezkum podle článku 43 a provozuje veřejný registr akreditovaných subjektů podle čl. 43 odst. 6 a akreditovaných správců či zpracovatelů usazených ve třetích zemích podle čl. 42 odst. 7;

p)	stanoví požadavky uvedené v čl. 43 odst. 3 pro účely akreditace subjektů pro vydávání osvědčení podle článku 42;

q)	poskytuje Komisi stanovisko k požadavkům na vydání osvědčení uvedeným v čl. 43 odst. 8;

r)	poskytuje Komisi stanovisko k ikonám uvedeným v čl. 12 odst. 7;

poskytuje Komisi stanovisko pro posouzení odpovídající úrovně ochrany ve třetí zemi nebo v mezinárodní organizaci, i pro posouzení, zda určitá třetí země, určité území nebo jedno čí více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace již nezajišťuje odpovídající úroveň ochrany. Za tímto účelem poskytne Komise sboru veškerou potřebnou dokumentaci, včetně korespondence s vládou dané třetí země s ohledem na tuto třetí zemi, území či konkrétní odvětví nebo s mezinárodní organizací;

t)	vydává stanoviska k návrhům rozhodnutí dozorových úřadů podle mechanismu jednotnosti uvedeného v čl. 64 odst. 1, k záležitostem předloženým podle čl. 64 odst. 2 a vydává závazná rozhodnutí podle článku 65, včetně v případech uvedených v článku 66;

u)	podporuje spolupráci a účinnou dvoustrannou a vícestrannou výměnu informací a osvědčených postupů mezi dozorovými úřady;

v)	podporuje společné školicí programy a usnadňuje výměny pracovníků mezi dozorovými úřady a případně i s dozorovými úřady třetích zemí nebo s mezinárodními organizacemi;

w)	podporuje výměnu znalostí a dokumentů o právních předpisech v oblasti ochrany údajů a zavedených postupech s dozorovými úřady pro ochranu údajů po celém světě;

x)	vydává stanoviska ke kodexům chování vypracovaným na úrovni Unie podle čl. 40 odst. 9); a

y)	provozuje veřejně přístupný elektronický registr rozhodnutí přijatých dozorovými úřady a soudy k otázkám řešeným v rámci mechanismu jednotnosti.

2. Jestliže Komise žádá sbor o poradenství, může uvést určitou lhůtu s přihlédnutím k naléhavosti dané záležitosti.

3. Sbor zasílá svá stanoviska, pokyny, doporučení a osvědčené postupy Komisi a výboru uvedenému v článku 93 a zveřejňuje je.

4. Sbor ve vhodných případech konzultuje zúčastněné strany a poskytne jim možnost se v rozumné lhůtě vyjádřit. Sbor výsledky postupu konzultace veřejně zpřístupní, aniž je tím dotčen článek 76.

whereas

(52) Je třeba rovněž povolit odchylky od zákazu zpracování zvláštních kategorií osobních údajů, jsou-li stanoveny v právu Unie nebo členského státu a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li toto zpracování ve veřejném zájmu, zejména zpracování osobních údajů v oblasti pracovního práva a práva v oblasti sociální ochrany, včetně důchodů, a pro účely zdravotní bezpečnosti, monitorování a varování, předcházení přenosným chorobám a jiným závažným hrozbám pro zdraví nebo jejich kontroly.
Tato odchylka může být učiněna z důvodů zdraví, včetně veřejného zdraví a řízení zdravotnických služeb, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění, nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
Odchylka by rovněž měla umožnit zpracování těchto osobních údajů v případech, kdy je to nezbytné pro stanovení, výkon nebo ochranu právních nároků, ať již v soudním řízení, nebo ve správním či mimosoudním řízení.

- = -

(63) Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.
Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.
Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům.
Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení.
Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací.
Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.

- = -

(65) Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a „právo být zapomenuta“, pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje.
Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů.
Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit.
Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě.
Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.

- = -

(88) Při vytváření podrobných pravidel týkajících se formátu a postupů ohlašování případů porušení zabezpečení osobních údajů by měly být náležitě zohledněny okolnosti porušení, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují.
Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zpřístupnění mohlo zbytečně ztížit vyšetřování okolností porušení zabezpečení osobních údajů.

- = -

(101) Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací.
Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů.
Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci.
V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení.
K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.

- = -

(112) Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu.
Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas.
V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů třetí zemi nebo mezinárodní organizaci. Členské státy by taková ustanovení měly oznámit Komisi.
Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.

- = -

dal 2004 diritto e informatica