search


interactive GDPR 2016/0679 SK

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 SK jump to: cercato: 'ochrany' . Output generated live by software developed by IusOnDemand srl


index ochrany:


whereas ochrany:


definitions:


cloud tag: and the number of total unique words without stopwords is: 2569

 

Článok 1

Predmet úpravy a ciele

1.   Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.   Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

3.   Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.

Článok 2

Vecná pôsobnosť

1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.   Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

a)

v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b)

členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;

c)

fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;

d)

príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

3.   Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa uplatňuje nariadenie (ES) č. 45/2001. Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie uplatniteľné na takéto spracúvanie osobných údajov sa upravia podľa zásad a pravidiel tohto nariadenia v súlade s článkom 98.

4.   Týmto nariadením preto nie je dotknuté uplatňovanie smernice 2000/31/ES, najmä pravidlá týkajúce sa zodpovednosti poskytovateľov služieb informačnej spoločnosti uvedené v článkoch 12 až 15 uvedenej smernice.

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

1.

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2.

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.

„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

4.

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

5.

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.

„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

7.

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.

„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

9.

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.

„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.

„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.

„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.

„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.

„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

a)

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

b)

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.

„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.

„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.

„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.

„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)

prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)

dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)

sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)

spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)

spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.

„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.

„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 5

Zásady spracúvania osobných údajov

1.   Osobné údaje musia byť:

a)

spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

b)

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)

primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)

správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“);

e)

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“);

f)

spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2.   Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 9

Spracúvanie osobitných kategórií osobných údajov

1.   Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2.   Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)

dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

b)

spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)

spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;

d)

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;

e)

spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)

spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;

g)

spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

h)

spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;

i)

spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

j)

spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3.   Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

4.   Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.

Článok 10

Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky

Spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení založených na článku 6 ods. 1 sa vykonáva len pod kontrolou orgánu verejnej moci, alebo ak je spracúvanie povolené právom Únie alebo právom členského štátu poskytujúcim primerané záruky ochrany práv a slobôd dotknutých osôb. Každý komplexný register uznania viny za trestné činy sa vedie iba pod kontrolou orgánu verejnej moci.

Článok 23

Obmedzenia

1.   V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

a)

národnú bezpečnosť;

b)

obranu;

c)

verejnú bezpečnosť;

d)

predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie;

e)

iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

f)

ochranu nezávislosti súdnictva a súdnych konaní;

g)

predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie;

h)

monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g);

i)

ochranu dotknutej osoby alebo práv a slobôd iných;

j)

vymáhanie občianskoprávnych nárokov.

2.   Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípadov upravujú aspoň:

a)

účely spracúvania alebo kategórie spracúvania;

b)

kategórie osobných údajov;

c)

rozsah zavedených obmedzení;

d)

záruky zabraňujúce zneužitiu údajov alebo nezákonnému prístupu či prenosu;

e)

určenie prevádzkovateľa alebo kategórií prevádzkovateľov;

f)

doby uchovávania a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania;

g)

riziká pre práva a slobody dotknutých osôb a

h)

práva dotknutých osôb na informovanie o obmedzení, pokiaľ tým nie je ohrozený účel obmedzenia.

KAPITOLA IV

Prevádzkovateľ a sprostredkovateľ

Oddiel 1

Všeobecné povinnosti

Článok 24

Zodpovednosť prevádzkovateľa

1.   S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2.   Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

3.   Dodržiavanie schválených kódexov správania uvedených v článku 40 alebo schválených certifikačných mechanizmov uvedených v článku 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.

Článok 25

Špecificky navrhnutá a štandardná ochrana údajov

1.   So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2.   Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

3.   Schválený certifikačný mechanizmus podľa článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

Článok 28

Sprostredkovateľ

1.   Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2.   Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3.   Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)

zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)

vykoná všetky požadované opatrenia podľa článku 32;

d)

dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)

po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)

pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)

po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)

poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.   Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5.   Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6.   Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7.   Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8.   Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9.   Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10.   Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 33

Oznámenie porušenia ochrany osobných údajov dozornému orgánu

1.   V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa článku 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

2.   Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

3.   Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)

opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

b)

meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

c)

opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)

opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

4.   V rozsahu, v akom nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

5.   Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

Článok 34

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1.   V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2.   Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d).

3.   Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

a)

prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)

prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky;

c)

by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4.   Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

Oddiel 3

Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Článok 35

Posúdenie vplyvu na ochranu údajov

1.   Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2.   Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3.   Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)

systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)

spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)

systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4.   Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5.   Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6.   Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7.   Posúdenie obsahuje aspoň:

a)

systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)

posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)

posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)

opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8.   Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9.   Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10.   Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11.   V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 37

Určenie zodpovednej osoby

1.   Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)

spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

2.   Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

3.   Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4.   V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6.   Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

7.   Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Článok 39

Úlohy zodpovednej osoby

1.   Zodpovedná osoba má aspoň tieto úlohy:

a)

poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;

b)

monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

c)

poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35;

d)

spolupráca s dozorným orgánom;

e)

plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

2.   Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Oddiel 5

Kódexy správania a certifikácia

Článok 40

Kódexy správania

1.   Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2.   Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)

spravodlivým a transparentným spracúvaním;

b)

oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)

získavaním osobných údajov;

d)

pseudonymizáciou osobných údajov;

e)

informovaním verejnosti a dotknutých osôb;

f)

uplatnením práv dotknutých osôb;

g)

informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)

opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)

oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)

prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)

mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3.   Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4.   Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5.   Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6.   Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7.   Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8.   Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9.   Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10.   Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11.   Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 42

Certifikácia

1.   Členské štáty, dozorné orgány, výbor a Komisia podporia, predovšetkým na úrovni Únie, zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov na účely preukázania súladu s týmto nariadením, pokiaľ ide o spracovateľské operácie vykonávané prevádzkovateľmi a sprostredkovateľmi. Zohľadnia sa osobitné potreby mikropodnikov a malých a stredných podnikov.

2.   Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, sa môžu stanoviť v oblasti ochrany údajov certifikačné mechanizmy, pečate alebo značky schválené podľa odseku 5 tohto článku s cieľom preukázať existenciu primeraných záruk zabezpečených prevádzkovateľmi alebo sprostredkovateľmi, na ktorých sa toto nariadenie podľa článku 3 nevzťahuje, v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. f). Takíto prevádzkovatelia alebo sprostredkovatelia môžu prijať záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

3.   Certifikácia je dobrovoľná a dostupná prostredníctvom postupu, ktorý je transparentný.

4.   Certifikáciou podľa tohto článku sa neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať toto nariadenie a nie sú ňou dotknuté úlohy a právomoci dozorných orgánov, ktoré sú príslušné podľa článku 55 alebo 56.

5.   Certifikáciu podľa tohto článku vydajú certifikačné subjekty uvedené v článku 43 alebo príslušný dozorný orgán na základe kritérií schválených uvedeným príslušným dozorným orgánom podľa článku 58 ods. 3 alebo kritérií schválených výborom podľa článku 63. Ak kritériá schvaľuje výbor, môže to viesť k spoločnej certifikácii, európskej pečati ochrany údajov.

6.   Prevádzkovateľ alebo sprostredkovateľ, ktorý predkladá svoje spracúvanie certifikačnému mechanizmu, poskytne certifikačnému subjektu uvedenému v článku 43 alebo v príslušnom prípade príslušnému dozornému orgánu všetky informácie a prístup k svojim spracovateľským činnostiam, ktoré sú potrebné na vykonanie certifikačného postupu.

7.   Certifikácia sa prevádzkovateľovi alebo sprostredkovateľovi vydá na maximálne obdobie troch rokov a môže sa obnoviť za rovnakých podmienok, pokiaľ sa naďalej plnia príslušné požiadavky. Certifikačné subjekty uvedené v článku 43 alebo v príslušnom prípade príslušný dozorný orgán certifikáciu odoberú, ak nie sú alebo už nie sú splnené požiadavky na certifikáciu.

8.   Výbor zhromažďuje všetky certifikačné mechanizmy a pečate a značky ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 43

Certifikačné subjekty

1.   Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, certifikačné subjekty, ktoré majú primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov, vydajú a obnovia certifikáciu po tom, ako informujú dozorný orgán, aby mu umožnili uplatniť jeho právomoci podľa článku 58 ods. 2 písm. h). Členské štáty zabezpečia, aby boli tieto certifikačné subjekty akreditované jedným či oboma z týchto orgánov:

a)

dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56;

b)

národným akreditačným orgánom vymenovaným v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (20) v súlade s EN-ISO/IEC 17065/2012 a s dodatočnými požiadavkami stanovenými dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56.

2.   Certifikačné subjekty uvedené v odseku 1 sú akreditované v súlade s uvedeným odsekom, len ak:

a)

preukázali svoju nezávislosť a odborné znalosti vo vzťahu k predmetu certifikácie k spokojnosti príslušného dozorného orgánu;

b)

zaviazali sa rešpektovať kritéria uvedené v článku 42 ods. 5 a schválené dozorným orgánom, ktorý je príslušný orgán podľa článku 55 alebo 56, alebo schválené výborom podľa článku 63;

c)

stanovili postupy na vydávanie, pravidelné preskúmanie a odoberanie certifikácie, pečatí a značiek ochrany údajov;

d)

stanovili postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým bola alebo je certifikácia vykonávaná prevádzkovateľom alebo sprostredkovateľom, a tieto postupy a štruktúry spravili transparentnými pre dotknuté osoby a verejnosť, a

e)

preukázali k spokojnosti príslušného dozorného orgánu, že ich úlohy a povinnosti nevedú ku konfliktu záujmov.

3.   Akreditácia certifikačných subjektov podľa odsekov 1 a 2 tohto článku sa uskutoční na základe kritérií schválených dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56, alebo kritérií schválených výborom podľa článku 63. V prípade akreditácie podľa odseku 1 písm. b) tohto článku dopĺňajú tieto požiadavky tie požiadavky, ktoré sa stanovujú v nariadení (ES) č. 765/2008, a technické pravidlá, ktorými sa opisujú metódy a postupy certifikačných subjektov.

4.   Certifikačné subjekty uvedené v odseku 1 sú zodpovedné za riadne posúdenie, ktoré povedie k certifikácii alebo odňatiu tejto certifikácie, pričom tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa zabezpečiť súlad s týmto nariadením. Akreditácia sa vydáva na maximálne obdobie piatich rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ certifikačný subjekt spĺňa požiadavky stanovené v tomto článku.

5.   Certifikačné subjekty uvedené v odseku 1 informujú príslušné dozorné orgány o dôvodoch udelenia alebo odňatia požadovanej certifikácie.

6.   Dozorný orgán zverejní požiadavky uvedené v odseku 3 tohto článku a kritériá uvedené v článku 42 ods. 5 v ľahko dostupnej forme. Dozorné orgány tiež zasielajú tieto požiadavky a kritériá výboru. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

7.   Príslušný dozorný orgán alebo národný akreditačný orgán bez toho, aby bola dotknutá kapitola VIII, odoberie akreditáciu certifikačného subjektu podľa odseku 1 tohto článku, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak sú kroky podniknuté certifikačným subjektom v rozpore s týmto nariadením.

8.   Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť požiadavky, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov uvedených v článku 42 ods. 1.

9.   Komisia môže prijať vykonávacie akty stanovujúce technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 44

Všeobecná zásada prenosov

Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.

Článok 45

Prenosy na základe rozhodnutia o primeranosti

1.   Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie.

2.   Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:

a)

právny štát, dodržiavanie ľudských práv a základných slobôd, príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov, pravidiel ochrany údajov, profesijných pravidiel a bezpečnostných opatrení vrátane pravidiel pre následný prenos osobných údajov do ďalšej tretej krajiny alebo medzinárodnej organizácii, ktoré sa v danej tretej krajine alebo medzinárodnej organizácii dodržiavajú, judikatúra, ako aj účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú;

b)

existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine, alebo ktorému podlieha medzinárodná organizácia, so zodpovednosťou za zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov vrátane primeraných právomocí pre presadzovanie práva, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi členských štátov; a

c)

medzinárodné záväzky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia prevzala, alebo iné záväzky vyplývajúce z právne záväzných dohovorov alebo nástrojov, ako aj z jej účasti na viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov.

3.   Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Vo vykonávacom akte sa uvedie rozsah jeho územnej a sektorovej pôsobnosti a v príslušných prípadoch aj dozorný orgán alebo dozorné orgány uvedené v odseku 2 písm. b) tohto článku. Vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

4.   Komisia priebežne monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť pôsobenie rozhodnutí prijatých podľa odseku 3 tohto článku a rozhodnutí prijatých na základe článku 25 ods. 6 smernice 95/46/ES.

5.   Komisia na základe dostupných informácií, najmä v nadväznosti na preskúmanie uvedené v odseku 3 tohto článku, rozhodne, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku, v potrebnom rozsahu prostredníctvom vykonávacích aktov bez retroaktívneho účinku zruší, zmení alebo pozastaví rozhodnutie uvedené v odseku 3 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Komisia prijme z riadne odôvodnených vážnych a naliehavých dôvodov okamžite uplatniteľné vykonávacie akty v súlade s postupom uvedeným v článku 93 ods. 3.

6.   Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav, ktorý viedol k rozhodnutiu prijatému podľa odseku 5.

7.   Rozhodnutím podľa odseku 5 tohto článku nie sú dotknuté prenosy osobných údajov do tretej krajiny, územia alebo jedného či viacerých určených sektorov v danej tretej krajine alebo príslušnej medzinárodnej organizácii podľa článkov 46 až 49.

8.   Komisia uverejnení v Úradnom vestníku Európskej únie a na svojom webovom sídle zoznam tretích krajín, území a určených sektorov v danej tretej krajine a medzinárodných organizácií, v prípade ktorých rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná úroveň ochrany zaručená.

9.   Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 3 alebo 5 tohto článku.

Článok 47

Záväzné vnútropodnikové pravidlá

1.   Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)

sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)

sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)

spĺňajú požiadavky stanovené v odseku 2.

2.   V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)

štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)

prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)

ich právna záväznosť, a to vnútorne a navonok;

d)

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

e)

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

f)

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)

spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

h)

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)

postupy týkajúce sa sťažností;

j)

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)

mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)

mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

m)

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)

primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3.   Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 50

Medzinárodná spolupráca na účely ochrany osobných údajov

Vo vzťahu k tretím krajinám a medzinárodným organizáciám Komisia a dozorné orgány prijmú primerané opatrenia s cieľom:

a)

vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

b)

poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

c)

zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

d)

podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o príslušnosť s tretími krajinami.

KAPITOLA VI

Nezávislé dozorné orgány

Oddiel 1

Nezávislé postavenie

Článok 53

Všeobecné podmienky týkajúce sa členov dozorného orgánu

1.   Členské štáty zabezpečia, aby každého člena ich dozorných orgánov transparentným postupom vymenoval:

ich parlament,

ich vláda,

ich hlava štátu alebo

nezávislý orgán, ktorý je poverený menovaním podľa práva členského štátu.

2.   Každý člen musí mať kvalifikáciu, skúsenosti a zručnosti, predovšetkým v oblasti ochrany osobných údajov, potrebné na plnenie svojich povinností a výkon svojich právomocí.

3.   Povinnosti člena zanikajú uplynutím funkčného obdobia, vzdaním sa funkcie alebo povinným odchodom do dôchodku v súlade s právom dotknutého členského štátu.

4.   Člena možno odvolať, len ak sa dopustil závažného pochybenia alebo prestal spĺňať podmienky požadované na výkon povinností.

Článok 54

Pravidlá zriadenia dozorného orgánu

1.   Každý členský štát prostredníctvom právnych predpisov upraví všetky tieto skutočnosti:

a)

zriadenie každého dozorného orgánu;

b)

kvalifikáciu a požiadavky na kandidátov na miesto člena každého dozorného orgánu;

c)

pravidlá a postupy vymenovania člena alebo členov každého dozorného orgánu;

d)

trvanie funkčného obdobia člena alebo členov každého dozorného orgánu, ktoré nesmie byť kratšie ako štyri roky, s výnimkou prvého vymenovania do funkcie po 24. máji 2016, ktoré môže byť kratšie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup vymenovania do funkcií;

e)

či sú člen alebo členovia každého dozorného orgánu oprávnení na opätovné vymenovanie, a ak áno, na koľko funkčných období;

f)

podmienky upravujúce povinnosti člena alebo členov a personálu každého dozorného orgánu, zákazy týkajúce sa konaní, pracovnej činnosti a výhod nezlučiteľných s funkciou člena počas funkčného obdobia a po ňom a pravidlá upravujúce ukončenie pracovného pomeru.

2.   Člen alebo členovia a personál každého dozorného orgánu podliehajú v súlade s právom Únie alebo právom členského štátu povinnosti zachovávať profesijné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich úloh alebo pri výkone svojich právomocí, a to tak počas ich funkčného obdobia, ako aj po ňom. Počas ich funkčného obdobia sa táto povinnosť zachovávať profesijné tajomstvo vzťahuje najmä na ohlasovanie porušení tohto nariadenia fyzickými osobami.

Oddiel 2

Príslušnosť, úlohy a právomoci

Článok 57

Úlohy

1.   Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

a)

monitoruje a presadzuje uplatňovanie tohto nariadenia;

b)

zvyšuje povedomie verejnosti a jej chápanie rizík, pravidiel, záruk a práv súvisiacich so spracúvaním. Osobitná pozornosť sa venuje činnostiam špecificky zameraným na deti;

c)

poskytuje v súlade s právom členského štátu poradenstvo národnému parlamentu, vláde a iným inštitúciám a orgánom o legislatívnych a administratívnych opatreniach súvisiacich s ochranou práv a slobôd fyzických osôb pri spracúvaní;

d)

zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto nariadenia;

e)

na požiadanie poskytuje informácie každej dotknutej osobe v súvislosti s uplatnením jej práv podľa tohto nariadenia a prípadne na tento účel spolupracuje s dozornými orgánmi v iných členských štátoch;

f)

vybavuje sťažnosti podané dotknutou osobou alebo subjektom, organizáciou alebo združením v súlade s článkom 80, a vyšetruje v primeranom rozsahu podstatu sťažnosti a informuje sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

g)

spolupracuje s inými dozornými orgánmi, vrátane výmeny informácií, a poskytuje im vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia;

h)

vedie vyšetrovania týkajúce sa uplatňovania tohto nariadenia, a to aj na základe informácií, ktoré mu poskytol iný dozorný orgán alebo iný orgán verejnej moci;

i)

monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií a obchodných praktík;

j)

prijíma štandardné zmluvné doložky uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

k)

zostavuje a vedie zoznam v súvislosti s požiadavkou na posúdenie vplyvu na ochranu údajov podľa článku 35 ods. 4;

l)

poskytuje poradenstvo v súvislosti so spracovateľskými operáciami uvedenými v článku 36 ods. 2;

m)

nabáda k vypracovaniu kódexov správania podľa článku 40 ods. 1 a vydáva stanovisko k takýmto kódexom správania a schvaľuje ich, ak poskytujú dostatočné záruky, podľa článku 40 ods. 5;

n)

podporuje vytvorenie mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článku 42 ods. 1 a schvaľuje kritériá certifikácie podľa článku 42 ods. 5;

o)

ak je to vhodné, uskutočňuje pravidelné preskúmanie certifikácií vydaných v súlade s článkom 42 ods. 7;

p)

navrhuje a zverejňuje kritériá akreditácie subjektu na monitorovanie kódexov správania podľa článku 41 a certifikačného subjektu podľa článku 43;

q)

vykonáva akreditáciu subjektu na monitorovanie kódexov správania podľa článku 41 a certifikačného subjektu podľa článku 43;

r)

povoľuje zmluvné doložky a ustanovenia uvedené v článku 46 ods. 3;

s)

schvaľuje záväzné vnútropodnikové pravidlá podľa článku 47;

t)

prispieva k činnostiam výboru;

u)

vedie interné záznamy o porušeniach tohto nariadenia a o opatreniach prijatých v súlade s článkom 58 ods. 2 a

v)

plní akékoľvek iné úlohy súvisiace s ochranou osobných údajov.

2.   Každý dozorný orgán uľahčuje podávanie sťažností uvedených v odseku 1 písm. f), a to takými opatreniami, ako napríklad poskytnutím formulára sťažnosti, ktorý je možné tiež vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

3.   Plnenie úloh každého dozorného orgánu je pre dotknutú osobu a v príslušných prípadoch zodpovednú osobu bezplatné.

4.   Ak sú žiadosti zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, dozorný orgán môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti. Dozorný orgán znáša bremeno preukázania, že žiadosť je zjavne neopodstatnená alebo neprimeraná.

Článok 58

Právomoci

1.   Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

a)

nariadiť prevádzkovateľovi a sprostredkovateľovi a v príslušnom prípade zástupcovi prevádzkovateľa alebo sprostredkovateľa, aby poskytli všetky informácie, ktoré vyžaduje na plnenie svojich úloh;

b)

viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)

vykonávať preskúmania certifikácií vydaných podľa článku 42 ods. 7;

d)

oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

e)

získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

f)

získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu.

2.   Každý dozorný orgán má všetky tieto nápravné právomoci:

a)

upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)

napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

e)

nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

f)

nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

g)

nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19;

h)

odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu vydanú podľa článkov 42 a 43, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu;

i)

uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

j)

nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

3.   Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

a)

poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 36;

b)

vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti;

c)

povoliť spracúvanie uvedené v článku 36 ods. 5, ak právo členského štátu vyžaduje takéto predchádzajúce povolenie;

d)

vydávať stanoviská a schvaľovať návrhy kódexov správania podľa článku 40 ods. 5;

e)

akreditovať certifikačné subjekty podľa článku 43;

f)

vydávať certifikácie a schvaľovať kritériá certifikácie v súlade s článkom 42 ods. 5;

g)

prijímať štandardné doložky o ochrane údajov uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

h)

schvaľovať zmluvné doložky uvedené v článku 46 ods. 3 písm. a);

i)

schvaľovať administratívne dojednania uvedené v článku 46 ods. 3 písm. b);

j)

schvaľovať záväzné vnútropodnikové pravidlá podľa článku 47.

4.   Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

5.   Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6.   Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.

Článok 60

Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi

1.   Vedúci dozorný orgán spolupracuje s inými dotknutými dozornými orgánmi v súlade s týmto článkom a s cieľom dosiahnuť konsenzus. Vedúci dozorný orgán a dotknuté dozorné orgány si navzájom vymieňajú všetky relevantné informácie.

2.   Vedúci dozorný orgán môže kedykoľvek požiadať iné dotknuté dozorné orgány, aby mu poskytli vzájomnú pomoc podľa článku 61, a môže uskutočniť spoločné operácie podľa článku 62, najmä na účely vykonania vyšetrovania alebo monitorovania vykonávania opatrenia, ktoré sa týka prevádzkovateľa alebo sprostredkovateľa usadeného v inom členskom štáte.

3.   Vedúci dozorný orgán bezodkladne oznámi relevantné informácie týkajúce sa veci iným dotknutým dozorným orgánom. Bezodkladne predloží iným dotknutým dozorným orgánom návrh rozhodnutia, aby sa k nemu vyjadrili a aby sa náležite zohľadnili ich stanoviská.

4.   Ak ktorýkoľvek z iných dotknutých dozorných orgánov podá v lehote štyroch týždňov odo dňa, kedy bol v súlade s odsekom 3 tohto článku konzultovaný, relevantnú a odôvodnenú námietku k návrhu rozhodnutia, vedúci dozorný orgán, ak s relevantnou a odôvodnenou námietkou nesúhlasí alebo sa domnieva, že námietka je nerelevantná alebo neodôvodnená, predloží záležitosť mechanizmu konzistentnosti uvedenému v článku 63.

5.   Ak má vedúci dozorný orgán v úmysle podanej relevantnej a odôvodnenej námietke vyhovieť, predloží iným dotknutým dozorným orgánom revidovaný návrh rozhodnutia na účely vyjadrenia stanoviska. Tento revidovaný návrh rozhodnutia podlieha postupu uvedenému v odseku 4 v lehote dvoch týždňov.

6.   Ak voči návrhu rozhodnutia, ktorý predložil vedúci dozorný orgán, nenamietal v lehote uvedenej v odsekoch 4 a 5 žiadny z iných dotknutých dozorných orgánov, platí, že vedúci dozorný orgán a dotknuté dozorné orgány s týmto návrhom rozhodnutia súhlasia a tento návrh rozhodnutia sa pre ne stáva záväzným.

7.   Vedúci dozorný orgán rozhodnutie prijme a oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa, prípadne sprostredkovateľa, a o danom rozhodnutí vrátane zhrnutia relevantných faktov a dôvodov informuje iné dotknuté dozorné orgány a výbor. Dozorný orgán, na ktorom sa sťažnosť podala, informuje sťažovateľa o rozhodnutí.

8.   Odchylne od odseku 7, ak sa sťažnosť odmietne alebo sa jej nevyhovie, dozorný orgán, na ktorom sa sťažnosť podala, prijme rozhodnutie, oznámi ho sťažovateľovi a informuje prevádzkovateľa.

9.   Ak sa vedúci dozorný orgán a dotknuté dozorné orgány dohodnú na tom, že sa časti sťažnosti odmietnu alebo sa im nevyhovie a v súvislosti s inými časťami sťažnosti sa bude konať, pre každú z týchto častí danej veci sa prijme samostatné rozhodnutie. Vedúci dozorný orgán prijme rozhodnutie pre časť týkajúcu sa opatrení vzťahujúcich sa na prevádzkovateľa, oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu a informuje o tom sťažovateľa, zatiaľ čo dozorný orgán sťažovateľa prijme rozhodnutie pre časť týkajúcu sa odmietnutia danej sťažnosti alebo jej nevyhoveniu a oznámi toto rozhodnutie sťažovateľovi a informuje o tom prevádzkovateľa alebo sprostredkovateľa.

10.   Po tom, ako im je oznámené rozhodnutie vedúceho dozorného orgánu podľa odsekov 7 a 9, prevádzkovateľ alebo sprostredkovateľ prijmú potrebné opatrenia na zabezpečenie súladu s rozhodnutím, pokiaľ ide o spracovateľské činnosti v súvislosti so všetkými svojimi prevádzkarňami v Únii. Prevádzkovateľ alebo sprostredkovateľ oznámia opatrenia prijaté na dodržanie rozhodnutia vedúceho dozornému orgánu, ktorý o tom informuje iné dotknuté dozorné orgány.

11.   Ak má dotknutý dozorný orgán vo výnimočných prípadoch dôvody domnievať sa, že je naliehavo potrebné konať v záujme ochrany záujmov dotknutých osôb, uplatňuje sa postup pre naliehavé prípady uvedený v článku 66.

12.   Vedúci dozorný orgán a iné dotknuté dozorné orgány si navzájom v elektronickej forme a s použitím štandardizovaného formátu poskytujú informácie, ktoré sa požadujú v rámci tohto článku.

Článok 70

Úlohy výboru

1.   Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)

monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)

poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)

poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)

vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)

preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

g)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

i)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)

vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)

preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)

nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)

vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)

spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)

poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)

poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

s)

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)

vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)

podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)

podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)

podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)

poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)

vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2.   Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3.   Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4.   Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

Článok 80

Zastupovanie dotknutých osôb

1.   Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2.   Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.

Článok 88

Spracúvanie v súvislosti so zamestnaním

1.   Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2.   Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.

3.   Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

Článok 91

Existujúce pravidlá ochrany údajov cirkví a náboženských združení

1.   Ak v čase nadobudnutia účinnosti tohto nariadenia cirkvi a náboženské združenia alebo komunity v niektorom členskom štáte uplatňujú komplexné pravidlá ochrany fyzických osôb pri spracúvaní, tieto pravidlá možno aj naďalej uplatňovať pod podmienkou, že sa zosúladia s týmto nariadením.

2.   Cirkvi a náboženské združenia, ktoré uplatňujú komplexné pravidlá v súlade s odsekom 1 tohto článku, podliehajú dohľadu zo strany nezávislého dozorného orgánu, ktorý môže mať osobitnú povahu, pokiaľ spĺňa podmienky stanovené v kapitole VI tohto nariadenia.

KAPITOLA X

Delegované akty a vykonávacie akty

Článok 98

Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajov

Komisia podľa potreby predloží legislatívne návrhy s cieľom zmeniť iné právne akty Únie týkajúce sa ochrany osobných údajov, aby sa zaistila jednotná a konzistentná ochrana fyzických osôb pri spracúvaní. To sa týka najmä pravidiel ochrany fyzických osôb pri spracúvaní inštitúciami, orgánmi, úradmi a agentúrami Únie a voľného pohybu takýchto údajov.

Článok 99

Nadobudnutie účinnosti a uplatňovanie

1.   Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Uplatňuje sa od 25.mája 2018.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 27. apríla 2016

Za Európsky parlament

predseda

M. SCHULZ

Za Radu

predsedníčka

J.A. HENNIS-PLASSCHAERT


(1)  Ú. v. EÚ C 229, 31.7.2012, s. 90.

(2)  Ú. v. EÚ C 391, 18.12.2012, s. 127.

(3)  Pozícia Európskeho parlamentu z 12. marca 2014 (zatiaľ neuverejnená v úradnom vestníku) a pozícia Rady v prvom čítaní z 8. apríla 2016 (zatiaľ neuverejnená v úradnom vestníku). Pozícia Európskeho parlamentu zo 14. apríla 2016.

(4)  Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

(5)  Odporúčanie Komisie zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov (C(2003) 1422) (Ú. v. EÚ L 124, 20.5.2003, s. 36).

(6)  Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(7)  Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (pozri stranu 89 tohto úradného vestníka).

(8)  Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 17.7.2000, s. 1).

(9)  Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(10)  Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 21.4.1993, s. 29).

(11)  Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci (Ú. v. EÚ L 354, 31.12.2008, s. 70).

(12)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(13)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1215/2012 z 12. decembra 2012 o právomoci a o uznávaní a výkone rozsudkov v občianskych a obchodných veciach (Ú. v. EÚ L 351, 20.12.2012, s. 1).

(14)  Smernica Európskeho parlamentu a Rady 2003/98/ES zo 17. novembra 2003 o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 345, 31.12.2003, s. 90).

(15)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 536/2014 zo 16. apríla 2014 o klinickom skúšaní liekov na humánne použitie, ktorým sa zrušuje smernica 2001/20/ES (Ú. v. EÚ L 158, 27.5.2014, s. 1).

(16)  Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31.3.2009, s. 164).

(17)  Ú. v. EÚ C 192, 30.6.2012, s. 7.

(18)  Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(19)  Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1).

(20)  Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).

(21)  Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).


whereas

dal 2004 diritto e informatica