interactive GDPR 2016/0679 SK

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 79

Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi

1. Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.

2. Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom alebo sprostredkovateľom nie je orgán verejnej moci členského štátu konajúci v rámci výkonu verejnej moci.

Článok 80

Zastupovanie dotknutých osôb

1. Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2. Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.

Článok 82

Právo na náhradu škody a zodpovednosť

1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

4. Ak sa na tom istom spracúvaní zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním, každý z nich zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada.

5. Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 zaplatil náhradu spôsobenej škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok stanovených v odseku 2.

6. Návrhy na začatie súdnych konaní na účely uplatnenia práva na náhradu škody sa podávajú na súdy príslušné podľa práva členského štátu uvedeného v článku 79 ods. 2.

Článok 90

Povinnosť zachovávať mlčanlivosť

1. Členské štáty môžu prijať osobitné pravidlá stanovujúce právomoci dozorných orgánov stanovené v článku 58 ods. 1 písm. e) a f), pokiaľ ide o prevádzkovateľov alebo sprostredkovateľov, ktorí na základe práva Únie alebo práva členského štátu alebo pravidiel stanovených príslušnými vnútroštátnymi orgánmi podliehajú povinnosti profesijného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné a primerané na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať mlčanlivosť. Uvedené pravidlá sa uplatňujú iba na osobné údaje, ktoré prevádzkovateľ alebo sprostredkovateľ dostali v dôsledku činnosti, na ktorú sa vzťahuje táto povinnosť zachovávať mlčanlivosť, alebo ich pri tejto činnosti získali.

2. Každý členský štát oznámi Komisii do 25. mája 2018 pravidlá prijaté podľa odseku 1 a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

whereas

(19) Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo jeho predchádzania a voľný pohyb takýchto údajov podlieha osobitnému právnemu aktu Únie.
Toto nariadenie by sa preto nemalo vzťahovať na spracovateľské činnosti na takéto účely.
Ak sa však osobné údaje spracúvané orgánmi verejnej moci podľa tohto nariadenia používajú na uvedené účely, mal by sa na ne vzťahovať špecifickejší právny akt Únie, a to smernica Európskeho parlamentu a Rady (EÚ) 2016/680 (7). Členské štáty môžu poveriť príslušné orgány v zmysle smernice (EÚ) 2016/680 úlohami, ktoré nie sú nevyhnutne vykonávané na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, pokiaľ patria do pôsobnosti práva Únie, patrí do pôsobnosti tohto nariadenia.

- = -

(37) Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.
Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.

- = -

(94) Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, dozorný orgán by sa mal konzultovať ešte pred začiatkom spracovateľskej činnosti.
Takéto vysoké riziko pravdepodobne vyplýva z určitého typu spracúvania a rozsahu a frekvencie spracúvania, v dôsledku ktorých môže tiež vzniknúť škoda alebo zásah do práv a slobôd fyzickej osoby.
Dozorný orgán by mal odpovedať na žiadosť o konzultáciu v stanovenej lehote.
Ak však dozorný orgán v rámci tejto lehoty nezareaguje, nie je tým dotknutý žiadny zásah dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení vrátane práva zakázať spracovateľské operácie.
Súčasťou tohto konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov, ktoré sa vykonalo v súvislosti s daným spracúvaním, dozornému orgánu, a to najmä opatrení určených na zmiernenie rizika pre práva a slobody fyzických osôb.

- = -

(107) Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany údajov.
V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať, pokiaľ nie sú splnené požiadavky tohto nariadenia týkajúce sa prenosov na základe primeraných záruk, vrátane záväzných vnútropodnikových pravidiel a výnimiek pre osobitné situácie.
V takomto prípade by sa mali stanoviť postupy na účely konzultácií medzi Komisiou a takýmito tretími krajinami alebo medzinárodnými organizáciami.
Komisia by mala včas informovať tretiu krajinu alebo medzinárodnú organizáciu o dôvodoch a začať s ňou konzultácie s cieľom napraviť tento stav.

- = -

(142) Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene na dozornom orgáne, uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo ak je to stanovené v práve členského štátu, uplatnili právo na náhradu škody v mene dotknutých osôb. Členský štát môže stanoviť, aby takýto subjekt, organizácia alebo združenie mali nezávisle od poverenia dotknutej osoby právo podať sťažnosť v tomto členskom štáte a právo na účinný súdny prostriedok nápravy, ak má dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto nariadením.
Takémuto subjektu, organizácii alebo združeniu sa nesmie povoliť domáhať sa náhrady škody v mene dotknutej osoby nezávisle od poverenia dotknutej osoby.

- = -

(146) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením.
Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť.
Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia.
Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu.
Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia.
Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.
Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, každý prevádzkovateľ alebo sprostredkovateľ by mal byť zodpovedný za celú škodu.
Ak sú však v súlade s právom členského štátu účastníkmi toho istého súdneho konania, náhrada škody sa môže rozdeliť podľa miery zodpovednosti každého prevádzkovateľa alebo sprostredkovateľa za škodu spôsobenú spracúvaním, pokiaľ je zaistená úplná a účinná náhrada pre dotknutú osobu, ktorá utrpela škodu.
Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.

- = -

dal 2004 diritto e informatica