interactive GDPR 2016/0679 SK

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 6

Zákonnosť spracúvania

1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)	dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)	spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)	spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)	spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)	spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)	spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

a)	v práve Únie alebo

b)	v práve členského štátu vzťahujúcom sa na prevádzkovateľa.

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4. Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)	akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)	okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)	povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)	možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)	existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 12

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

a)	požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)	odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6. Bez toho, aby bol dotknutý článok 11, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 15 až 21, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7. Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 13 a 14, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon.

Oddiel 2

Informácie a prístup k osobným údajom

Článok 28

Sprostredkovateľ

1. Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)	zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)	vykoná všetky požadované opatrenia podľa článku 32;

d)	dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)	po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)	pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)	po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)	poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6. Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7. Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8. Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9. Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10. Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 30

Záznamy o spracovateľských činnostiach

1. Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

a)	meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

b)	účely spracúvania;

c)	opis kategórií dotknutých osôb a kategórií osobných údajov;

d)	kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

e)	v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

f)	podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

g)	podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

2. Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

a)	meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

b)	kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c)	v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

d)	podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

3. Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4. Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

5. Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.

Článok 33

Oznámenie porušenia ochrany osobných údajov dozornému orgánu

1. V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa článku 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

2. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

3. Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)	opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

b)	meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

c)	opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)	opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

4. V rozsahu, v akom nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

5. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

Článok 43

Certifikačné subjekty

1. Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, certifikačné subjekty, ktoré majú primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov, vydajú a obnovia certifikáciu po tom, ako informujú dozorný orgán, aby mu umožnili uplatniť jeho právomoci podľa článku 58 ods. 2 písm. h). Členské štáty zabezpečia, aby boli tieto certifikačné subjekty akreditované jedným či oboma z týchto orgánov:

a)	dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56;

b)	národným akreditačným orgánom vymenovaným v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (20) v súlade s EN-ISO/IEC 17065/2012 a s dodatočnými požiadavkami stanovenými dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56.

2. Certifikačné subjekty uvedené v odseku 1 sú akreditované v súlade s uvedeným odsekom, len ak:

a)	preukázali svoju nezávislosť a odborné znalosti vo vzťahu k predmetu certifikácie k spokojnosti príslušného dozorného orgánu;

b)	zaviazali sa rešpektovať kritéria uvedené v článku 42 ods. 5 a schválené dozorným orgánom, ktorý je príslušný orgán podľa článku 55 alebo 56, alebo schválené výborom podľa článku 63;

c)	stanovili postupy na vydávanie, pravidelné preskúmanie a odoberanie certifikácie, pečatí a značiek ochrany údajov;

d)	stanovili postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým bola alebo je certifikácia vykonávaná prevádzkovateľom alebo sprostredkovateľom, a tieto postupy a štruktúry spravili transparentnými pre dotknuté osoby a verejnosť, a

e)	preukázali k spokojnosti príslušného dozorného orgánu, že ich úlohy a povinnosti nevedú ku konfliktu záujmov.

3. Akreditácia certifikačných subjektov podľa odsekov 1 a 2 tohto článku sa uskutoční na základe kritérií schválených dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56, alebo kritérií schválených výborom podľa článku 63. V prípade akreditácie podľa odseku 1 písm. b) tohto článku dopĺňajú tieto požiadavky tie požiadavky, ktoré sa stanovujú v nariadení (ES) č. 765/2008, a technické pravidlá, ktorými sa opisujú metódy a postupy certifikačných subjektov.

4. Certifikačné subjekty uvedené v odseku 1 sú zodpovedné za riadne posúdenie, ktoré povedie k certifikácii alebo odňatiu tejto certifikácie, pričom tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa zabezpečiť súlad s týmto nariadením. Akreditácia sa vydáva na maximálne obdobie piatich rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ certifikačný subjekt spĺňa požiadavky stanovené v tomto článku.

5. Certifikačné subjekty uvedené v odseku 1 informujú príslušné dozorné orgány o dôvodoch udelenia alebo odňatia požadovanej certifikácie.

6. Dozorný orgán zverejní požiadavky uvedené v odseku 3 tohto článku a kritériá uvedené v článku 42 ods. 5 v ľahko dostupnej forme. Dozorné orgány tiež zasielajú tieto požiadavky a kritériá výboru. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

7. Príslušný dozorný orgán alebo národný akreditačný orgán bez toho, aby bola dotknutá kapitola VIII, odoberie akreditáciu certifikačného subjektu podľa odseku 1 tohto článku, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak sú kroky podniknuté certifikačným subjektom v rozpore s týmto nariadením.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť požiadavky, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov uvedených v článku 42 ods. 1.

9. Komisia môže prijať vykonávacie akty stanovujúce technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 53

Všeobecné podmienky týkajúce sa členov dozorného orgánu

1. Členské štáty zabezpečia, aby každého člena ich dozorných orgánov transparentným postupom vymenoval:

—	ich parlament,

—	ich vláda,

—	ich hlava štátu alebo

—	nezávislý orgán, ktorý je poverený menovaním podľa práva členského štátu.

2. Každý člen musí mať kvalifikáciu, skúsenosti a zručnosti, predovšetkým v oblasti ochrany osobných údajov, potrebné na plnenie svojich povinností a výkon svojich právomocí.

3. Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo povinným odchodom do dôchodku v súlade s právom dotknutého členského štátu.

4. Člena možno odvolať, len ak sa dopustil závažného pochybenia alebo prestal spĺňať podmienky požadované na výkon povinností.

Článok 77

Právo podať sťažnosť dozornému orgánu

1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

2. Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.

Článok 79

Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi

1. Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.

2. Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom alebo sprostredkovateľom nie je orgán verejnej moci členského štátu konajúci v rámci výkonu verejnej moci.

Článok 91

Existujúce pravidlá ochrany údajov cirkví a náboženských združení

1. Ak v čase nadobudnutia účinnosti tohto nariadenia cirkvi a náboženské združenia alebo komunity v niektorom členskom štáte uplatňujú komplexné pravidlá ochrany fyzických osôb pri spracúvaní, tieto pravidlá možno aj naďalej uplatňovať pod podmienkou, že sa zosúladia s týmto nariadením.

2. Cirkvi a náboženské združenia, ktoré uplatňujú komplexné pravidlá v súlade s odsekom 1 tohto článku, podliehajú dohľadu zo strany nezávislého dozorného orgánu, ktorý môže mať osobitnú povahu, pokiaľ spĺňa podmienky stanovené v kapitole VI tohto nariadenia.

KAPITOLA X

Delegované akty a vykonávacie akty

whereas

(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch.
Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie.
Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení.
Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES, prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy.
Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len „citlivé údaje“).
V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.

- = -

(23) S cieľom zabezpečiť, že fyzickým osobám nebude odopretá ochrana, na ktorú majú na základe tohto nariadenia nárok, by sa toto nariadenie malo uplatňovať na spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii vykonávané prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám bez ohľadu na to, či je spojené s platbou.
Aby bolo možné určiť, či takýto prevádzkovateľ alebo sprostredkovateľ ponúka tovar alebo služby dotknutým osobám nachádzajúcim sa v Únii, malo by sa zistiť, či je zrejmé, že prevádzkovateľ alebo sprostredkovateľ plánuje ponúkať služby dotknutým osobám v jednom alebo viacerých členských štátoch v Únii.
Zatiaľ čo samotná dostupnosť webového sídla prevádzkovateľa, sprostredkovateľa alebo poskytovateľa služieb informačnej spoločnosti v Únii, emailovej adresy či iných kontaktných údajov alebo použitie jazyka, ktorý sa všeobecne používa v tretej krajine, kde je prevádzkovateľ usadený, nie sú dostatočné na potvrdenie takého úmyslu, na základe faktorov, ako sú použitie jazyka alebo meny všeobecne používaných v jednom alebo viacerých členských štátov s možnosťou objednania tovaru a služieb v danom druhom jazyku alebo spomenutie zákazníkov alebo používateľov nachádzajúcich sa v Únii, môže byť zjavné, že prevádzkovateľ má v úmysle ponúkať tovar alebo služby dotknutým osobám v Únii.

- = -

(24) Spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, by tiež malo podliehať tomuto nariadeniu, keď sa týka sledovania ich správania, pokiaľ sa toto správanie uskutočňuje v Únii.
Na určenie toho, či spracovateľskú činnosť možno považovať za „sledovanie správania“ dotknutej osoby, by sa malo zistiť, či sú fyzické osoby sledované na internete vrátane prípadného následného využitia technologických riešení spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby.

- = -

(33) Často nie je možné v čase získavania údajov úplne určiť účel spracúvania osobných údajov na účely vedeckého výskumu.
Preto by sa dotknutým osobám malo umožniť udeliť svoj súhlas pre určité oblasti vedeckého výskumu, pokiaľ sú dodržané uznávané etické normy vedeckého výskumu.
Dotknuté osoby by mali mať možnosť udeliť svoj súhlas iba na určité oblasti výskumu alebo časti výskumných projektov v rozsahu, ktorý umožňuje zamýšľaný účel.

- = -

(45) Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu.
Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis.
Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci.
Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania.
Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie.
V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.

- = -

(47) Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.
Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách.
Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť.
Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie.
Keďže je úlohou zákonodarcu, aby v právnych predpisoch stanovil právny základ pre spracúvanie osobných údajov orgánmi verejnej moci, tento právny základ by sa nemal vzťahovať na spracúvanie orgánmi verejnej moci pri plnení ich úloh.
Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov.
Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

- = -

(59) Mali by sa stanoviť postupy, ktoré by dotknutej osobe uľahčili uplatnenie jej práv podľa tohto nariadenia a ktoré by zahŕňali mechanizmy na vyžiadanie si a prípadné získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie, a na uplatnenie práva namietať.
Prevádzkovateľ by mal tiež poskytnúť možnosť, aby sa žiadosti mohli podávať elektronicky, najmä ak sa osobné údaje spracúvajú elektronickými prostriedkami.
Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody v prípade, ak nemá v úmysle vyhovieť takejto žiadosti.

- = -

(60) Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch.
Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú.
Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania.
Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne.
Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania.
Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

- = -

(61) Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote v závislosti od okolností prípadu.
Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli osobné údaje prvýkrát poskytnuté tomuto príjemcovi.
Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie.
Ak sa z dôvodu použitia viacerých zdrojov nemohol dotknutej osobe poskytnúť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.

- = -

(63) Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť.
K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky.
Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania.
Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom.
Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru.
Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe.
Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

- = -

(65) Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie či právo členského štátu vzťahujúce sa na prevádzkovateľa.
Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov.
Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu.
Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné v prípadoch, keď je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

- = -

(68) S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi.
Prevádzkovatelia by sa mali nabádať, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov.
Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy.
Nemalo by sa uplatňovať, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva.
Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje pri výkone svojich verejných úloh.
Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné.
Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia.
Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy.
Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.

- = -

(72) Na profilovanie sa vzťahujú pravidlá stanovené v tomto nariadení upravujúce spracúvanie osobných údajov, ako napríklad právne dôvody spracúvania alebo zásady ochrany údajov.
Európsky výbor pre ochranu údajov, zriadený týmto nariadením (ďalej len „výbor“), by mal mať možnosť vydať v tejto súvislosti usmernenie.

- = -

(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby.
Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.
Ak nie je možné oznámenie podať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

- = -

(97) Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.
V súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti.
Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.
Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.

- = -

(108) Pri absencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu.
Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom.
Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.
Mali by sa týkať predovšetkým súladu so všeobecnými zásadami spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov.
Prenosy môžu vykonávať aj orgány verejnej moci alebo verejnoprávne subjekty s orgánmi verejnej moci alebo verejnoprávnymi subjektmi v tretích krajinách alebo s medzinárodnými organizáciami s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb.
Povolenie príslušného dozorného orgánu by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné.

- = -

(109) možnosť pre prevádzkovateľa alebo sprostredkovateľa uplatniť štandardné doložky o ochrane údajov prijaté Komisiou alebo dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy, ako napríklad zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridali ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami prijatými Komisiou alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb.
Prevádzkovatelia a sprostredkovatelia by sa mali nabádať, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné ochranné doložky.

- = -

(111) Mali by sa prijať ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi.
Mali by sa prijať ustanovenia aj o možnosti prenosov, ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v práve Únie alebo v práve členského štátu alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom.
V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

- = -

(113) Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva a slobody dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov.
Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu základných práv a slobôd fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov.
Takéto prenosy by mali byť možné len v zostatkových prípadoch, v ktorých nie sú dané iné dôvody na prenos.
Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí.
Prevádzkovateľ by mal informovať o prenose dozorný orgán a dotknutú osobu.

- = -

(117) Zriadenie dozorných orgánov v členských štátoch oprávnených plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.

- = -

(127) Každý dozorný orgán, ktorý nekoná ako vedúci dozorný orgán, by mal byť príslušný pre vybavovanie miestnych prípadov, pri ktorých sú prevádzkovateľ alebo sprostredkovateľ usadení vo viac ako jednom členskom štáte, ale predmet konkrétneho spracúvania sa týka iba spracúvania v jedinom členskom štáte, ktoré sa vzťahuje iba na dotknuté osoby v tomto jedinom členskom štáte, napríklad keď sa predmet týka spracúvania osobných údajov zamestnancov v špecifickom kontexte zamestnanosti určitého členského štátu.
V takých prípadoch by mal dozorný orgán bezodkladne informovať o tejto záležitosti vedúci dozorný orgán.
Vedúci dozorný orgán by mal po tom, ako bol informovaný, rozhodnúť, či sa prípadom bude zaoberať podľa ustanovenia o spolupráci medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi (ďalej len „mechanizmus jednotného kontaktného miesta“) alebo či by sa prípadom mal na miestnej úrovni zaoberať dozorný orgán, ktorý ho informoval.
Vedúci dozorný orgán by mal pri rozhodovaní o tom, či sa prípadom bude zaoberať, zohľadniť, či má prevádzkovateľ alebo sprostredkovateľ prevádzkareň v členskom štáte dozorného orgánu, ktorý ho informoval, aby sa zabezpečilo účinné vykonanie rozhodnutia voči prevádzkovateľovi alebo sprostredkovateľovi.
Ak vedúci dozorný orgán rozhodne, že sa prípadom bude zaoberať, dozorný orgán, ktorý ho informoval, by mal mať možnosť predložiť návrh rozhodnutia, ktorý by mal vedúci dozorný orgán v čo najväčšej miere zohľadniť pri vypracúvaní svojho návrhu rozhodnutia v rámci uvedeného mechanizmu jednotného kontaktného miesta.

- = -

(145) Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať žalobu na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je orgán verejnej moci členského štátu pri výkone verejnej moci.

- = -

(148) S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa okrem primeraných opatrení, ktoré ukladá dozorný orgán podľa tohto nariadenia, alebo namiesto nich, mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút.
V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie.
Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti.
Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty vrátane účinnej súdnej ochrany a riadneho procesu.

- = -

(149) Členské štáty by mali mať možnosť stanoviť pravidlá týkajúce sa trestných sankcií za porušenia tohto nariadenia vrátane porušenia vnútroštátnych predpisov prijatých podľa tohto nariadenia a v jeho rámci.
Uvedené trestné sankcie môžu umožniť aj odňatie príjmov získaných porušením tohto nariadenia.
Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor.

- = -

(154) Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom.
Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem.
Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha.
V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia.
Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom.
Smernica Európskeho parlamentu a Rady 2003/98/ES (14) nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení.
Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.

- = -

(156) Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto nariadenia.
Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti splniť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Členské štáty by mali ustanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. Členské štáty by mali byť oprávnené stanoviť za osobitných podmienok a za primeraných záruk pre dotknuté osoby špecifikácie a výnimky z požiadaviek na informácie a práv na opravu, na vymazanie osobných údajov, na zabudnutie, obmedzenie spracúvania, na prenosnosť údajov a namietať pri spracúvaní osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely.
Tieto podmienky a záruky môžu zahŕňať osobitné postupy pre dotknuté osoby na uplatňovanie týchto práv, ak je to vhodné vzhľadom na účely osobitného spracúvania spolu s technickými a organizačnými opatreniami, ktorých cieľom je minimalizovať spracúvanie osobných údajov podľa zásad proporcionality a nevyhnutnosti.
Spracúvanie osobných údajov na vedecké účely by malo byť aj v súlade s ďalšími relevantnými právnymi predpismi, napríklad predpismi o klinických skúškach.

- = -

(157) Spojením informácií z registrov môžu výskumní pracovníci získať veľmi hodnotné nové znalosti, pokiaľ ide o celkový zdravotný stav, ako sú srdcovo-cievne ochorenia, rakovina a depresia.
Na základe registrov sa hodnota výsledkov výskumu môže zvýšiť, pretože vychádzajú z väčšieho počtu obyvateľov.
V spoločenskej vede umožňuje výskum na základe registrov výskumným pracovníkom získavať kľúčové znalosti o dlhodobej vzájomnej súvislosti medzi niektorými sociálnymi podmienkami, napríklad nezamestnanosťou a vzdelaním a inými životnými podmienkami.
Výsledky výskumu získané prostredníctvom registrov poskytujú spoľahlivé, vysokokvalitné znalosti, ktoré môžu byť základom pre formuláciu a vykonávanie znalostnej politiky, zlepšiť kvalitu života mnohých ľudí a zvýšiť účinnosť sociálnych služieb.
V záujme uľahčenia vedeckého výskumu možno osobné údaje spracúvať na účely vedeckého výskumu za predpokladu primeraných podmienok a záruk stanovených v práve Únie alebo v práve členského štátu.

- = -

(158) Toto nariadenie by sa malo uplatňovať aj na spracúvanie osobných údajov na účely archivácie, berúc pritom do úvahy, že by sa nemalo uplatňovať na zosnulé osoby.
Orgány verejnej moci alebo verejnoprávne alebo súkromnoprávne subjekty, ktoré majú záznamy verejného záujmu, by mali byť útvary, ktoré majú podľa práva Únie alebo práva členského štátu zákonnú povinnosť získavať, uchovávať, oceňovať, viesť, opisovať, oznamovať, propagovať a šíriť záznamy trvalej hodnoty pre všeobecný verejný záujem a poskytovať k nim prístup. Členské štáty by okrem toho mali byť oprávnené stanoviť, že osobné údaje možno ďalej spracúvať na účely archivácie, napríklad s cieľom poskytnúť špecifické informácie o politickom správaní počas minulých totalitných štátnych režimov, o genocíde, zločinoch proti ľudskosti, najmä holokauste, alebo vojnových zločinoch.

- = -

(170) Keďže cieľ tohto nariadenia, a to zabezpečiť rovnocennú úroveň ochrany fyzických osôb a voľný tok osobných údajov v rámci celej Únie, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov rozsahu a dôsledkov činnosti ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii (ZEÚ).
V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

- = -

dal 2004 diritto e informatica