interactive GDPR 2016/0679 SK

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 9

Spracúvanie osobitných kategórií osobných údajov

1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)	spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;

e)	spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)	spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;

spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;

spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3. Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

4. Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.

Článok 12

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

a)	požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)	odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6. Bez toho, aby bol dotknutý článok 11, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 15 až 21, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7. Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 13 a 14, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon.

Oddiel 2

Informácie a prístup k osobným údajom

Článok 13

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)	doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

b)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

c)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)	právo podať sťažnosť dozornému orgánu;

e)	informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;

f)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.

4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.

Článok 14

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	kategórie dotknutých osobných údajov;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)	doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

b)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

c)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

d)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

e)	právo podať sťažnosť dozornému orgánu;

f)	z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

g)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)	v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)	ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

c)	ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

a)	dotknutá osoba má už dané informácie;

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti;

c)	sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo

d)	v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

Článok 24

Zodpovednosť prevádzkovateľa

1. S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2. Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

3. Dodržiavanie schválených kódexov správania uvedených v článku 40 alebo schválených certifikačných mechanizmov uvedených v článku 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.

Článok 40

Kódexy správania

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)	spravodlivým a transparentným spracúvaním;

b)	oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)	získavaním osobných údajov;

d)	pseudonymizáciou osobných údajov;

e)	informovaním verejnosti a dotknutých osôb;

f)	uplatnením práv dotknutých osôb;

g)	informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)	opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)	oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)	prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)	mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 43

Certifikačné subjekty

1. Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, certifikačné subjekty, ktoré majú primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov, vydajú a obnovia certifikáciu po tom, ako informujú dozorný orgán, aby mu umožnili uplatniť jeho právomoci podľa článku 58 ods. 2 písm. h). Členské štáty zabezpečia, aby boli tieto certifikačné subjekty akreditované jedným či oboma z týchto orgánov:

a)	dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56;

b)	národným akreditačným orgánom vymenovaným v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (20) v súlade s EN-ISO/IEC 17065/2012 a s dodatočnými požiadavkami stanovenými dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56.

2. Certifikačné subjekty uvedené v odseku 1 sú akreditované v súlade s uvedeným odsekom, len ak:

a)	preukázali svoju nezávislosť a odborné znalosti vo vzťahu k predmetu certifikácie k spokojnosti príslušného dozorného orgánu;

b)	zaviazali sa rešpektovať kritéria uvedené v článku 42 ods. 5 a schválené dozorným orgánom, ktorý je príslušný orgán podľa článku 55 alebo 56, alebo schválené výborom podľa článku 63;

c)	stanovili postupy na vydávanie, pravidelné preskúmanie a odoberanie certifikácie, pečatí a značiek ochrany údajov;

d)	stanovili postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým bola alebo je certifikácia vykonávaná prevádzkovateľom alebo sprostredkovateľom, a tieto postupy a štruktúry spravili transparentnými pre dotknuté osoby a verejnosť, a

e)	preukázali k spokojnosti príslušného dozorného orgánu, že ich úlohy a povinnosti nevedú ku konfliktu záujmov.

3. Akreditácia certifikačných subjektov podľa odsekov 1 a 2 tohto článku sa uskutoční na základe kritérií schválených dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56, alebo kritérií schválených výborom podľa článku 63. V prípade akreditácie podľa odseku 1 písm. b) tohto článku dopĺňajú tieto požiadavky tie požiadavky, ktoré sa stanovujú v nariadení (ES) č. 765/2008, a technické pravidlá, ktorými sa opisujú metódy a postupy certifikačných subjektov.

4. Certifikačné subjekty uvedené v odseku 1 sú zodpovedné za riadne posúdenie, ktoré povedie k certifikácii alebo odňatiu tejto certifikácie, pričom tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa zabezpečiť súlad s týmto nariadením. Akreditácia sa vydáva na maximálne obdobie piatich rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ certifikačný subjekt spĺňa požiadavky stanovené v tomto článku.

5. Certifikačné subjekty uvedené v odseku 1 informujú príslušné dozorné orgány o dôvodoch udelenia alebo odňatia požadovanej certifikácie.

6. Dozorný orgán zverejní požiadavky uvedené v odseku 3 tohto článku a kritériá uvedené v článku 42 ods. 5 v ľahko dostupnej forme. Dozorné orgány tiež zasielajú tieto požiadavky a kritériá výboru. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

7. Príslušný dozorný orgán alebo národný akreditačný orgán bez toho, aby bola dotknutá kapitola VIII, odoberie akreditáciu certifikačného subjektu podľa odseku 1 tohto článku, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak sú kroky podniknuté certifikačným subjektom v rozpore s týmto nariadením.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť požiadavky, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov uvedených v článku 42 ods. 1.

9. Komisia môže prijať vykonávacie akty stanovujúce technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 46

Prenosy vyžadujúce primerané záruky

1. Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

a)	právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)	záväzných vnútropodnikových pravidiel v súlade s článkom 47;

c)	štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;

d)	štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán, a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2;

e)	schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

f)	schváleného certifikačného mechanizmu podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb.

3. S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)	zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, alebo

b)	ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4. Dozorný orgán uplatňuje mechanizmus konzistentnosti uvedený v článku 63 v prípadoch uvedených v odseku 3 tohto článku.

5. Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.

Článok 47

Záväzné vnútropodnikové pravidlá

1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)	sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)	sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)	spĺňajú požiadavky stanovené v odseku 2.

2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)	štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)	prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)	ich právna záväznosť, a to vnútorne a navonok;

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)	spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)	postupy týkajúce sa sťažností;

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)	mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)	mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)	primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 49

Výnimky pre osobitné situácie

1. Ak neexistuje rozhodnutie o primeranosti podľa článku 45 ods. 3 alebo ak neexistujú primerané záruky podľa článku 46 vrátane záväzných vnútropodnikových pravidiel, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu absencie rozhodnutia o primeranosti a primeraných záruk;

b)	prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;

c)	prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;

d)	prenos je nevyhnutný z dôležitých dôvodov verejného záujmu;

e)	prenos je nevyhnutný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;

f)	prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas;

prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo práva členského štátu určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v tomto konkrétnom prípade splnené podmienky stanovené právom Únie alebo právom členského štátu na nahliadanie.

Ak by sa prenos nemohol zakladať na ustanovení článku 45 alebo 46 vrátane ustanovení o záväzných vnútropodnikových pravidlách a neuplatňuje sa žiadna výnimka pre osobitnú situáciu uvedená v prvom pododseku tohto odseku, prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov. Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia informácií uvedených v článkoch 13 a 14 informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje.

2. Prenos podľa odseku 1 prvého pododseku písm. g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3. Odsek 1 prvý pododsek písm. a), b) a c) a odsek 1 druhý pododsek sa neuplatňujú na činnosti, ktoré vykonávajú orgány verejnej moci pri uplatňovaní svojich verejných právomocí.

4. Verejný záujem uvedený v odseku 1 prvom pododseku písm. d) musí byť uznaný právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha.

5. Ak neexistuje rozhodnutie o primeranosti, môžu sa v práve Únie alebo v práve členského štátu zo závažných dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií osobných údajov do tretej krajiny alebo medzinárodnej organizácii. Členské štáty oznámia takéto ustanovenia Komisii.

6. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky uvedené v druhom pododseku odseku 1 tohto článku v záznamoch uvedených v článku 30.

Článok 52

Nezávislosť

1. Každý dozorný orgán koná pri plnení svojich úloh a výkone svojich právomocí v súlade s týmto nariadením úplne nezávisle.

2. Člen alebo členovia dozorného orgánu nesmú byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto nariadenia pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmú od nikoho požadovať ani prijímať pokyny.

3. Člen alebo členovia dozorného orgánu sa zdržia akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho funkčného obdobia nevykonávajú žiadnu inú platenú ani neplatenú pracovnú činnosť nezlučiteľnú s touto funkciou.

4. Každý členský štát zabezpečí, aby sa každému dozornému orgánu poskytli ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh a vykonávanie jeho právomocí vrátane tých, ktoré sa majú plniť a vykonávať v súvislosti so vzájomnou pomocou, spoluprácou a účasťou vo výbore.

5. Každý členský štát zabezpečí, aby si každý dozorný orgán vybral a mal svoj vlastný personál, ktorý je podriadený výlučne členovi alebo členom dotknutého dozorného orgánu.

6. Každý členský štát zabezpečí, aby každý dozorný orgán podliehal finančnej kontrole, ktorá neovplyvní jeho nezávislosť, a aby mal samostatný verejný ročný rozpočet, ktorý môže byť súčasťou celkového štátneho alebo národného rozpočtu.

Článok 61

Vzájomná pomoc

1. Dozorné orgány si navzájom poskytujú relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania tohto nariadenia a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o predchádzajúce povolenie a konzultácie, kontroly a vyšetrovania.

2. Každý dozorný orgán prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantných informácií o vedení vyšetrovania.

3. Žiadosti o pomoc obsahujú všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú len na účel, na ktorý boli vyžiadané.

4. Dožiadaný dozorný orgán nesmie odmietnuť vyhovieť žiadosti s výnimkou prípadu, keď:

a)	nie je príslušný pre predmet žiadosti alebo pre opatrenia, o vykonanie ktorých bol požiadaný, alebo

b)	vyhovenie žiadosti by bolo v rozpore s týmto nariadením alebo s právom Únie alebo s právom členského štátu, ktorému podlieha dozorný orgán, ktorému bola žiadosť doručená.

5. Dožiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom reagovať na žiadosť alebo prípadne o pokroku dosiahnutom v tejto súvislosti. Dožiadaný dozorný orgán v prípade odmietnutia žiadosti podľa odseku 4 toto odmietnutie odôvodní.

6. Dožiadané dozorné orgány poskytnú informácie požadované inými dozornými orgánmi spravidla elektronickými prostriedkami, pričom používajú štandardizovaný formát.

7. Dožiadané dozorné orgány neúčtujú za opatrenie, ktoré vykonali na základe žiadosti o vzájomnú pomoc, žiadny poplatok. Dozorné orgány sa môžu dohodnúť na pravidlách vzájomnej náhrady v prípade špecifických výdavkov, ktoré vyplývajú z poskytnutia vzájomnej pomoci za výnimočných okolností.

8. Ak dozorný orgán neposkytne informácie uvedené v odseku 5 tohto článku do jedného mesiaca od doručenia žiadosti od iného dozorného orgánu, žiadajúci dozorný orgán môže prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55 ods. 1. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

9. Komisia môže prostredníctvom vykonávacích aktov spresniť formát a postupy pre vzájomnú pomoc uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a výborom, najmä štandardizovaný formát uvedený v odseku 6 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 62

Spoločné operácie dozorných orgánov

1. Dozorné orgány podľa potreby vykonávajú spoločné operácie vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania, do ktorých sú zapojení členovia alebo personál dozorných orgánov iných členských štátov.

2. Ak má prevádzkovateľ alebo sprostredkovateľ prevádzkarne vo viacerých členských štátoch alebo keď je pravdepodobné, že spracovateľské operácie budú mať podstatný vplyv na významný počet dotknutých osôb vo viac ako jednom členskom štáte, dozorný orgán každého z týchto členských štátov má právo podieľať sa na spoločných operáciách. Dozorný orgán, ktorý je príslušný podľa článku 56 ods. 1 alebo 4, vyzve dozorné orgány z každého z týchto členských štátov, aby sa zúčastnili na dotknutých spoločných operáciách a bezodkladne reaguje na žiadosť dozorného orgánu o zapojenie sa.

3. Dozorný orgán môže v súlade s právom členského štátu a s povolením vysielajúceho dozorného orgánu udeliť členom alebo personálu vysielajúceho dozorného orgánu zúčastňujúcemu sa na spoločných operáciách právomoci vrátane vyšetrovacích právomocí alebo, pokiaľ to umožňuje právo členského štátu hostiteľského dozorného orgánu, umožniť členom alebo personálu vysielajúceho dozorného orgánu uplatňovať ich vyšetrovacie právomoci v súlade s právom členského štátu vysielajúceho dozorného orgánu. Takéto vyšetrovacie právomoci sa môžu uplatňovať len pod usmernením a za prítomnosti členov alebo personálu hostiteľského dozorného orgánu. Členovia alebo personál vysielajúceho dozorného orgánu podliehajú právu členského štátu hostiteľského dozorného orgánu.

4. Ak personál vysielajúceho dozorného orgánu pôsobí v súlade s odsekom 1 v inom členskom štáte, prevezme členský štát hostiteľského dozorného orgánu zodpovednosť za jeho konanie vrátane zodpovednosti za každú škodu, ktorú tento personál spôsobí počas svojho pôsobenia, v súlade s právom členského štátu, na ktorého území pôsobí.

5. Členský štát, na území ktorého bola škoda spôsobená, nahradí túto škodu za rovnakých podmienok, ktoré sa vzťahujú na škodu spôsobenú jeho vlastným personálom. Členský štát vysielajúceho dozorného orgánu, ktorého personál spôsobil škodu akejkoľvek osobe na území iného členského štátu, v plnom rozsahu uhradí tomuto inému členskému štátu akúkoľvek sumu, ktorú vyplatil osobám, ktoré majú na to v ich mene nárok.

6. Bez toho, aby bolo dotknuté uplatnenie jeho práv voči tretím stranám, a s výnimkou odseku 5 nesmie žiadny členský štát v prípade uvedenom v odseku 1 vyžadovať od iného členského štátu náhradu v súvislosti so škodou uvedenou v odseku 4.

7. Ak sa plánuje spoločná operácia a dozorný orgán nesplní svoju povinnosť stanovenú v druhej vete odseku 2 tohto článku do jedného mesiaca, ostatné dozorné orgány môžu prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje stanovisko alebo naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

Oddiel 2

Konzistentnosť

Článok 66

Postup pre naliehavé prípady

1. Za výnimočných okolností, keď sa dotknutý dozorný orgán domnieva, že je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, môže odchylne od mechanizmu konzistentnosti uvedeného v článkoch 63, 64 a 65 alebo postupu uvedeného v článku 60 bezodkladne prijať predbežné opatrenia, ktoré majú mať právne účinky na jeho území a určenú dobu platnosti, ktorá nepresahuje tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia a dôvody ich prijatia iným dotknutým dozorným orgánom, výboru a Komisii.

2. Ak dozorný orgán prijal opatrenie podľa odseku 1 a domnieva sa, že je naliehavo potrebné prijať konečné opatrenia, môže požiadať výbor o naliehavé stanovisko alebo naliehavé záväzné rozhodnutie, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje.

3. Ktorýkoľvek dozorný orgán môže požiadať výbor o naliehavé stanovisko alebo prípadne o naliehavé záväzné rozhodnutie, ak príslušný dozorný orgán neprijal primerané opatrenie v situácii, keď je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje, vrátane dôvodov naliehavej potreby konať.

4. Odchylne od článku 64 ods. 3 a článku 65 ods. 2 sa naliehavé stanovisko alebo naliehavé záväzné rozhodnutie uvedené v odsekoch 2 a 3 tohto článku prijme do dvoch týždňov jednoduchou väčšinou členov výboru.

whereas

(9) Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí.
Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii.
Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie.
Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.

- = -

(15) S cieľom zabrániť vzniku závažného rizika obchádzania právnych predpisov by mala byť ochrana fyzických osôb technologicky neutrálna a nemala by závisieť od použitých technologických riešení.
Ochrana fyzických osôb by sa mala vzťahovať na spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme alebo do neho majú byť uložené.
Súbory alebo zbierky súborov, ako aj ich titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, by nemali patriť do rozsahu pôsobnosti tohto nariadenia.

- = -

(23) S cieľom zabezpečiť, že fyzickým osobám nebude odopretá ochrana, na ktorú majú na základe tohto nariadenia nárok, by sa toto nariadenie malo uplatňovať na spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii vykonávané prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám bez ohľadu na to, či je spojené s platbou.
Aby bolo možné určiť, či takýto prevádzkovateľ alebo sprostredkovateľ ponúka tovar alebo služby dotknutým osobám nachádzajúcim sa v Únii, malo by sa zistiť, či je zrejmé, že prevádzkovateľ alebo sprostredkovateľ plánuje ponúkať služby dotknutým osobám v jednom alebo viacerých členských štátoch v Únii.
Zatiaľ čo samotná dostupnosť webového sídla prevádzkovateľa, sprostredkovateľa alebo poskytovateľa služieb informačnej spoločnosti v Únii, emailovej adresy či iných kontaktných údajov alebo použitie jazyka, ktorý sa všeobecne používa v tretej krajine, kde je prevádzkovateľ usadený, nie sú dostatočné na potvrdenie takého úmyslu, na základe faktorov, ako sú použitie jazyka alebo meny všeobecne používaných v jednom alebo viacerých členských štátov s možnosťou objednania tovaru a služieb v danom druhom jazyku alebo spomenutie zákazníkov alebo používateľov nachádzajúcich sa v Únii, môže byť zjavné, že prevádzkovateľ má v úmysle ponúkať tovar alebo služby dotknutým osobám v Únii.

- = -

(31) Orgány verejnej moci, ktorým sa poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské jednotky, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov.
Uvedené orgány verejnej moci by mali osobné údaje spracúvať v súlade s platnými pravidlami ochrany údajov podľa účelov spracúvania.

- = -

(36) Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň.
Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť podľa objektívnych kritérií a mala by zahŕňať efektívne a skutočné vykonávanie riadiacich činností, pri ktorých sa prijímajú hlavné rozhodnutia týkajúce sa účelu a prostriedkov spracúvania prostredníctvom stálych dojednaní.
Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste.
Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe hlavnú prevádzkáreň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň.
Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii.
V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení.
V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa.
Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik.

- = -

(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie.
Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť.
Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

- = -

(84) S cieľom posilniť súlad s týmto nariadením, ak je pravdepodobné, že spracovateľské operácie povedú k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ by mal byť zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom zhodnotiť najmä pôvod, povahu, osobitosť a závažnosť tohto rizika.
Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s týmto nariadením.
Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom.

- = -

(91) Tento postup by sa mal uplatniť najmä pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva a slobody dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.
Posúdenie vplyvu na ochranu údajov by sa malo vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.
Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak sa príslušný dozorný orgán domnieva, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.
Spracúvanie osobných údajov by sa nemalo považovať za spracúvanie veľkého rozsahu, ak sa týka osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom.
V takýchto prípadoch by posúdenie vplyvu na ochranu údajov nemalo byť povinné.

- = -

(111) Mali by sa prijať ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi.
Mali by sa prijať ustanovenia aj o možnosti prenosov, ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v práve Únie alebo v práve členského štátu alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom.
V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

- = -

(115) Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov.
To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom.
Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Úniou v tomto nariadení.
Prenosy by mali byť povolené, len ak sa splniapodmienky uvedené v tomto nariadení pre prenosy do tretích krajín.
Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu uznaného v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha.

- = -

(124) Ak sa spracúvanie osobných údajov uskutočňuje v kontexte činnosti prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ je usadený vo viac ako jednom členskom štáte alebo ak spracúvanie osobných údajov uskutočňujúce sa v kontexte činnosti jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte, by mal dozorný orgán pre hlavnú prevádzkareň prevádzkovateľa alebo sprostredkovateľa alebo pre jedinú prevádzkareň prevádzkovateľa alebo sprostredkovateľa konať ako vedúci orgán.
Mal by spolupracovať s inými dotknutými orgánmi, pretože prevádzkovateľ alebo sprostredkovateľ má prevádzkareň na území ich členského štátu, pretože dotknuté osoby s pobytom na ich území sú podstatne ovplyvnené alebo preto, že bola u nich podaná sťažnosť.
Rovnako, ak dotknutá osoba bez pobytu v tomto členskom štáte podala sťažnosť, dotknutým dozorným orgánom by mal byť aj dozorný orgán, na ktorom sa sťažnosť podala.
V rámci svojej úlohy vydávať usmernenia k akejkoľvek otázke týkajúcej sa uplatňovania tohto nariadenia by mal môcť výbor vydať usmernenia týkajúce sa najmä kritérií, ktoré sa majú zohľadniť s cieľom zistiť, či dané spracúvanie podstatne ovplyvňuje dotknuté osoby vo viac ako jednom členskom štáte, ako aj usmernenia k tomu, čo predstavuje relevantnú a odôvodnenú námietku.

- = -

(143) Každá fyzická alebo právnická osoba má právo podať na Súdnom dvore žalobu o vyhlásenie rozhodnutí výboru za neplatné, a to za podmienok stanovených v článku 263 ZFEÚ.
Ak majú dotknuté dozorné orgány, ktoré sú adresátmi takýchto rozhodnutí, v úmysle ich napadnúť, môžu podať žalobu v lehote dvoch mesiacov od ich oznámenia v súlade s článkom 263 ZFEÚ.
Ak sa rozhodnutia výboru priamo a osobne týkajú prevádzkovateľa, sprostredkovateľa alebo sťažovateľa, môžu proti týmto rozhodnutiam podať žalobu o ich neplatnosť v súlade s článkom 263 ZFEÚ v lehote dvoch mesiacov od uverejnenia týchto rozhodnutí na webovom sídle výboru.
Bez toho, aby bolo dotknuté toto právo podľa článku 263 ZFEÚ, každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky.
Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností.
Právo na účinný prostriedok nápravy však nezahŕňa opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán.
Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s procesným právom tohto členského štátu.
Tieto súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor.
Ak dozorný orgán sťažnosti nevyhovie alebo ju odmietne,

- = -

(158) Toto nariadenie by sa malo uplatňovať aj na spracúvanie osobných údajov na účely archivácie, berúc pritom do úvahy, že by sa nemalo uplatňovať na zosnulé osoby.
Orgány verejnej moci alebo verejnoprávne alebo súkromnoprávne subjekty, ktoré majú záznamy verejného záujmu, by mali byť útvary, ktoré majú podľa práva Únie alebo práva členského štátu zákonnú povinnosť získavať, uchovávať, oceňovať, viesť, opisovať, oznamovať, propagovať a šíriť záznamy trvalej hodnoty pre všeobecný verejný záujem a poskytovať k nim prístup. Členské štáty by okrem toho mali byť oprávnené stanoviť, že osobné údaje možno ďalej spracúvať na účely archivácie, napríklad s cieľom poskytnúť špecifické informácie o politickom správaní počas minulých totalitných štátnych režimov, o genocíde, zločinoch proti ľudskosti, najmä holokauste, alebo vojnových zločinoch.

- = -

(165) V zmysle článku 17 ZFEÚ sa týmto nariadením rešpektuje a zároveň ním nie je dotknuté postavenie, ktoré majú cirkvi a náboženské združenia alebo spoločenstvá v členských štátoch podľa platného ústavného práva.

- = -

(166) S cieľom splniť ciele tohto nariadenia, a to ochranu základných práv a slobôd fyzických osôb a najmä ich právo na ochranu osobných údajov a zabezpečenie voľného pohybu osobných údajov v rámci Únie by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ.
Najmä by sa mali prijať delegované akty týkajúce sa kritérií a požiadaviek vzťahujúcich sa na certifikačné mechanizmy, informácií, ktoré sa majú uvádzať vo forme štandardizovaných ikon, a postupov pri uvádzaní takýchto ikon.
Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov.
Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť, aby sa príslušné dokumenty súčasne, vo vhodnom čase a vhodným spôsobom postúpili Európskemu parlamentu a Rade.

- = -

dal 2004 diritto e informatica