interactive GDPR 2016/0679 SK

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 6

Zákonnosť spracúvania

1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)	dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)	spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)	spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)	spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)	spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)	spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

a)	v práve Únie alebo

b)	v práve členského štátu vzťahujúcom sa na prevádzkovateľa.

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4. Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)	akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)	okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)	povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)	možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)	existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 7

Podmienky vyjadrenia súhlasu

1. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

2. Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.

3. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

4. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Článok 9

Spracúvanie osobitných kategórií osobných údajov

1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)	spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;

e)	spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)	spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;

spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;

spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3. Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

4. Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.

Článok 11

Spracúvanie bez potreby identifikácie

1. Ak si účely, na ktoré prevádzkovateľ spracúva osobné údaje, nevyžadujú alebo prestali vyžadovať od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto nariadením.

2. Ak v prípadoch uvedených v odseku 1 tohto článku prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, zodpovedajúcim spôsobom informuje dotknutú osobu, ak je to možné. V takýchto prípadoch sa články 15 až 20 neuplatňujú, okrem prípadov, ak dotknutá osoba na účely vykonania svojich práv podľa uvedených článkov poskytne dodatočné informácie umožňujúce jej identifikáciu.

KAPITOLA III

Práva dotknutej osoby

Oddiel 1

Transparentnosť a postupy

Článok 12

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

a)	požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)	odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6. Bez toho, aby bol dotknutý článok 11, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 15 až 21, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7. Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 13 a 14, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon.

Oddiel 2

Informácie a prístup k osobným údajom

Článok 13

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)	doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

b)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

c)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)	právo podať sťažnosť dozornému orgánu;

e)	informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;

f)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.

4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.

Článok 14

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	kategórie dotknutých osobných údajov;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)	doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

b)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

c)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

d)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

e)	právo podať sťažnosť dozornému orgánu;

f)	z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

g)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)	v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)	ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

c)	ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

a)	dotknutá osoba má už dané informácie;

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti;

c)	sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo

d)	v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

Článok 15

Právo dotknutej osoby na prístup k údajom

1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

a)	účely spracúvania;

b)	kategórie dotknutých osobných údajov;

c)	príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d)	ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

e)	existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

f)	právo podať sťažnosť dozornému orgánu;

g)	ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;

h)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46 týkajúcich sa prenosu.

3. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

Oddiel 3

Oprava a vymazanie

Článok 16

Právo na opravu

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

Článok 17

Právo na vymazanie (právo „na zabudnutie“)

1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

a)	osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b)	dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;

c)	dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;

d)	osobné údaje sa spracúvali nezákonne;

e)	osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;

f)	osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.

2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

a)	na uplatnenie práva na slobodu prejavu a na informácie;

b)	na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c)	z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3;

d)	na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e)	na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Článok 18

Právo na obmedzenie spracúvania

1. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:

a)	dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;

b)	spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;

c)	prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;

d)	dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

2. Ak sa spracúvanie obmedzilo podľa odseku 1, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.

3. Dotknutú osobu, ktorá dosiahla obmedzenie spracúvania podľa odseku 1, prevádzkovateľ informuje pred tým, ako bude obmedzenie spracúvania zrušené.

Článok 19

Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Článok 20

Právo na prenosnosť údajov

1. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

a)	sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), alebo na zmluve podľa článku 6 ods. 1 písm. b), a

b)	ak sa spracúvanie vykonáva automatizovanými prostriedkami.

2. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

3. Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

4. Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

Oddiel 4

Právo namietať a automatizované individuálne rozhodovanie

Článok 21

Právo namietať

1. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.

3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

4. Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

5. V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu 2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.

6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.

Článok 22

Automatizované individuálne rozhodovanie vrátane profilovania

1. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:

a)	nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,

b)	povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

c)	založené na výslovnom súhlase dotknutej osoby.

3. V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

Oddiel 5

Obmedzenia

Článok 26

Spoloční prevádzkovatelia

1. Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. Transparentne určia svoje príslušné zodpovednosti za plnenie povinností podľa tohto nariadenia, najmä pokiaľ ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie uvedené v článkoch 13 a 14, a to formou vzájomnej dohody, pokiaľ nie sú príslušné zodpovednosti prevádzkovateľov určené právom Únie alebo právom členskému štátu, ktorému prevádzkovatelia podliehajú. V dohode sa môže určiť kontaktné miesto pre dotknuté osoby.

2. V dohode uvedenej v odseku 1 sa náležite zohľadnia príslušné úlohy spoločných prevádzkovateľov a ich vzťahy voči dotknutým osobám. Základné časti dohody sa poskytnú dotknutým osobám.

3. Bez ohľadu na podmienky dohody uvedenej v odseku 1 môže dotknutá osoba uplatniť svoje práva podľa tohto nariadenia u každého prevádzkovateľa a voči každému prevádzkovateľovi.

Článok 29

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 32

Bezpečnosť spracúvania

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 36

Predchádzajúca konzultácia

1. Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

2. Ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým dozorný orgán nezíska informácie, o ktoré požiadal na účely konzultácie.

3. Pri konzultácii dozorného orgánu podľa odseku 1 poskytne prevádzkovateľ dozornému orgánu:

a)	v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania, najmä v prípade spracúvania v rámci skupiny podnikov;

b)	informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)	informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)	v príslušných prípadoch kontaktné údaje zodpovednej osoby;

e)	posúdenie vplyvu na ochranu údajov stanovené v článku 35 a

f)	akékoľvek ďalšie informácie, o ktoré dozorný orgán požiada.

4. Členské štáty uskutočňujú s dozorným orgánom konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

5. Bez ohľadu na odsek 1 sa na základe práva členského štátu môže od prevádzkovateľov vyžadovať, aby uskutočnili s dozorným orgánom konzultácie a získali od neho predchádzajúce povolenie v súvislosti so spracúvaním vykonávaným prevádzkovateľom na plnenie úlohy prevádzkovateľa vo verejnom záujme vrátane spracúvania v súvislosti so sociálnym zabezpečením a verejným zdravím.

Oddiel 4

Zodpovedná osoba

Článok 37

Určenie zodpovednej osoby

1. Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)	spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

2. Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

3. Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4. V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5. Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6. Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

7. Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Článok 38

Postavenie zodpovednej osoby

1. Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

2. Prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh uvedených v článku 39, a to tak, že poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

3. Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4. Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5. Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

6. Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

Článok 39

Úlohy zodpovednej osoby

1. Zodpovedná osoba má aspoň tieto úlohy:

a)	poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;

monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

c)	poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35;

d)	spolupráca s dozorným orgánom;

e)	plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

2. Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Oddiel 5

Kódexy správania a certifikácia

Článok 40

Kódexy správania

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)	spravodlivým a transparentným spracúvaním;

b)	oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)	získavaním osobných údajov;

d)	pseudonymizáciou osobných údajov;

e)	informovaním verejnosti a dotknutých osôb;

f)	uplatnením práv dotknutých osôb;

g)	informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)	opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)	oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)	prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)	mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 49

Výnimky pre osobitné situácie

1. Ak neexistuje rozhodnutie o primeranosti podľa článku 45 ods. 3 alebo ak neexistujú primerané záruky podľa článku 46 vrátane záväzných vnútropodnikových pravidiel, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu absencie rozhodnutia o primeranosti a primeraných záruk;

b)	prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;

c)	prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;

d)	prenos je nevyhnutný z dôležitých dôvodov verejného záujmu;

e)	prenos je nevyhnutný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;

f)	prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas;

prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo práva členského štátu určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v tomto konkrétnom prípade splnené podmienky stanovené právom Únie alebo právom členského štátu na nahliadanie.

Ak by sa prenos nemohol zakladať na ustanovení článku 45 alebo 46 vrátane ustanovení o záväzných vnútropodnikových pravidlách a neuplatňuje sa žiadna výnimka pre osobitnú situáciu uvedená v prvom pododseku tohto odseku, prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov. Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia informácií uvedených v článkoch 13 a 14 informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje.

2. Prenos podľa odseku 1 prvého pododseku písm. g) nezahŕňa všetky osobné údaje alebo celé kategórie osobných údajov obsiahnutých v registri. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa uskutoční iba na žiadosť týchto osôb alebo vtedy, keď majú byť príjemcami.

3. Odsek 1 prvý pododsek písm. a), b) a c) a odsek 1 druhý pododsek sa neuplatňujú na činnosti, ktoré vykonávajú orgány verejnej moci pri uplatňovaní svojich verejných právomocí.

4. Verejný záujem uvedený v odseku 1 prvom pododseku písm. d) musí byť uznaný právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha.

5. Ak neexistuje rozhodnutie o primeranosti, môžu sa v práve Únie alebo v práve členského štátu zo závažných dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií osobných údajov do tretej krajiny alebo medzinárodnej organizácii. Členské štáty oznámia takéto ustanovenia Komisii.

6. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky uvedené v druhom pododseku odseku 1 tohto článku v záznamoch uvedených v článku 30.

Článok 54

Pravidlá zriadenia dozorného orgánu

1. Každý členský štát prostredníctvom právnych predpisov upraví všetky tieto skutočnosti:

a)	zriadenie každého dozorného orgánu;

b)	kvalifikáciu a požiadavky na kandidátov na miesto člena každého dozorného orgánu;

c)	pravidlá a postupy vymenovania člena alebo členov každého dozorného orgánu;

trvanie funkčného obdobia člena alebo členov každého dozorného orgánu, ktoré nesmie byť kratšie ako štyri roky, s výnimkou prvého vymenovania do funkcie po 24. máji 2016, ktoré môže byť kratšie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup vymenovania do funkcií;

e)	či sú člen alebo členovia každého dozorného orgánu oprávnení na opätovné vymenovanie, a ak áno, na koľko funkčných období;

f)	podmienky upravujúce povinnosti člena alebo členov a personálu každého dozorného orgánu, zákazy týkajúce sa konaní, pracovnej činnosti a výhod nezlučiteľných s funkciou člena počas funkčného obdobia a po ňom a pravidlá upravujúce ukončenie pracovného pomeru.

2. Člen alebo členovia a personál každého dozorného orgánu podliehajú v súlade s právom Únie alebo právom členského štátu povinnosti zachovávať profesijné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich úloh alebo pri výkone svojich právomocí, a to tak počas ich funkčného obdobia, ako aj po ňom. Počas ich funkčného obdobia sa táto povinnosť zachovávať profesijné tajomstvo vzťahuje najmä na ohlasovanie porušení tohto nariadenia fyzickými osobami.

Oddiel 2

Príslušnosť, úlohy a právomoci

Článok 70

Úlohy výboru

1. Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)	monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)	poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)	poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)	vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)	preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)	vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)	preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)	nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)	vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)	spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)	poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)	poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)	vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)	podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)	podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)	podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)	poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)	vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2. Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3. Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4. Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

Článok 77

Právo podať sťažnosť dozornému orgánu

1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

2. Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.

Článok 78

Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu

1. Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.

2. Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak dozorný orgán, ktorý je príslušný podľa článkov 55 a 56, sťažnosť nevybavil alebo neinformoval dotknutú osobu do troch mesiacov o pokroku alebo výsledku sťažnosti podanej podľa článku 77.

3. Návrh na začatie konania proti dozornému orgánu sa podáva na súdoch členského štátu, v ktorom je dozorný orgán zriadený.

4. Ak sa návrh na začatie konania podáva proti rozhodnutiu dozorného orgánu, ktorému predchádzalo stanovisko alebo rozhodnutie výboru v rámci mechanizmu konzistentnosti, dozorný orgán takéto stanovisko alebo rozhodnutie postúpi súdu.

Článok 79

Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi

1. Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.

2. Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom alebo sprostredkovateľom nie je orgán verejnej moci členského štátu konajúci v rámci výkonu verejnej moci.

Článok 80

Zastupovanie dotknutých osôb

1. Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2. Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.

Článok 82

Právo na náhradu škody a zodpovednosť

1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

4. Ak sa na tom istom spracúvaní zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním, každý z nich zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada.

5. Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 zaplatil náhradu spôsobenej škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok stanovených v odseku 2.

6. Návrhy na začatie súdnych konaní na účely uplatnenia práva na náhradu škody sa podávajú na súdy príslušné podľa práva členského štátu uvedeného v článku 79 ods. 2.

whereas

(26) Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.
Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.
Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj.
Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná.
Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

- = -

(32) Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením.
Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.
Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas.
Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely.
Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely.
Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.

- = -

(40) Aby bolo spracúvanie zákonné, osobné údaje by sa mali spracúvať na základe súhlasu dotknutej osoby alebo na nejakom inom legitímnom základe, ktorý je stanovený v právnych predpisoch, a to buď v tomto nariadení alebo v iných právnych predpisoch Únie alebo v práve členského štátu, ako je to uvedené v tomto nariadení, vrátane nevyhnutnosti plnenia zákonných povinností, ktoré má prevádzkovateľ, alebo nevyhnutnosti plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo s cieľom podniknúť kroky na požiadanie dotknutej osoby pred uzavretím zmluvy.

- = -

(42) Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním.
Najmä v kontexte písomného vyhlásenia v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje.
V súlade so smernicou Rady 93/13/EHS (10) by vyjadrenie súhlasu, ktoré vopred naformuloval prevádzkovateľ, malo byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemalo by obsahovať nekalé podmienky.
Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov.
Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.

- = -

(45) Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu.
Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis.
Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci.
Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania.
Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie.
V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.

- = -

(47) Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.
Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách.
Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť.
Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie.
Keďže je úlohou zákonodarcu, aby v právnych predpisoch stanovil právny základ pre spracúvanie osobných údajov orgánmi verejnej moci, tento právny základ by sa nemal vzťahovať na spracúvanie orgánmi verejnej moci pri plnení ich úloh.
Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov.
Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

- = -

(51) Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká.
Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás.
Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby.
Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nie je povolené v osobitných prípadoch stanovených v tomto nariadení, pričom sa zohľadní, že právo členských štátov môže stanoviť osobitné ustanovenia o ochrane údajov, ktorými prispôsobia uplatňovanie pravidiel tohto nariadenia na účely splnenia zákonnej povinnosti alebo úlohy realizovanej vo verejnom záujme či pri výkone verejnej moci zverenej prevádzkovateľovi.
Okrem osobitných požiadaviek na takéto spracúvanie by sa mali uplatňovať všeobecné zásady a iné pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky pre zákonné spracúvanie.
Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.

- = -

(57) Ak osobné údaje, ktoré spracúva prevádzkovateľ, nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.
Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv.
Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad použitím rovnakých prihlasovacích údajov, ktoré dotknutá osoba použila na prihlásenie do online služby poskytovanej prevádzkovateľom.

- = -

(60) Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch.
Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú.
Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania.
Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne.
Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania.
Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

- = -

(61) Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote v závislosti od okolností prípadu.
Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli osobné údaje prvýkrát poskytnuté tomuto príjemcovi.
Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie.
Ak sa z dôvodu použitia viacerých zdrojov nemohol dotknutej osobe poskytnúť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.

- = -

(62) Nie je však potrebné uložiť povinnosť poskytovať informácie, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je výslovne stanovené zákonom, alebo ak sa poskytnutie informácií dotknutej osobe ukáže ako nemožné alebo by si vyžiadalo vynaloženie neprimeraného úsilia.
Posledná situácia by mohla byť najmä spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely.
V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.

- = -

(63) Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť.
K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky.
Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania.
Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom.
Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru.
Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe.
Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

- = -

(65) Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie či právo členského štátu vzťahujúce sa na prevádzkovateľa.
Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov.
Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu.
Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné v prípadoch, keď je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

- = -

(68) S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi.
Prevádzkovatelia by sa mali nabádať, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov.
Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy.
Nemalo by sa uplatňovať, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva.
Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje pri výkone svojich verejných úloh.
Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné.
Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia.
Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy.
Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.

- = -

(69) Ak by osobné údaje mohli byť zákonne spracúvané, pretože spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo na základe oprávnených záujmov prevádzkovateľa alebo tretej strany, dotknutá osoba by mala mať právo namietať proti spracúvaniu akýchkoľvek osobných údajov, ktoré sa týkajú jej konkrétnej situácie.
Malo by byť na prevádzkovateľovi, aby preukázal, že jeho závažné oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby.

- = -

(70) Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba by mala mať právo namietať proti takému spracúvaniu vrátane profilovania, pokiaľ súvisí s takýmto priamym marketingom, bez ohľadu na to, či ide o pôvodné alebo ďalšie spracúvanie, a to kedykoľvek a bezplatne.
Dotknutá osoba by mala byť výslovne upozornená na uvedené právo, pričom sa uvedené právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

- = -

(71) Dotknutá osoba by mala mať právo nepodliehať rozhodnutiu, ktoré môže zahŕňať opatrenie, hodnotiacemu osobné aspekty, ktoré sa jej týkajú, založenému výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako je napríklad automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu.
Takéto spracúvanie zahŕňa „profilovanie“ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú.
Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie alebo právom členského štátu, ktoré sa vzťahuje na prevádzkovateľa, a to aj na účely monitorovania podvodov a daňových únikov a ich predchádzania, ktoré sa uskutočňuje v súlade s právnym predpismi, normami a odporúčaniami inštitúcií Únie alebo vnútroštátnych orgánov dozoru, a na zaistenie bezpečnosti a spoľahlivosti služby poskytovanej zo strany prevádzkovateľa, alebo ak je nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, alebo ak dotknutá osoba dala svoj výslovný súhlas.
V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať určité informácie pre dotknutú osobu a právo na ľudský zásah, vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a napadnúť rozhodnutie.
Takéto opatrenie by sa memalo týkať dieťaťa.

- = -

(91) Tento postup by sa mal uplatniť najmä pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva a slobody dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.
Posúdenie vplyvu na ochranu údajov by sa malo vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.
Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak sa príslušný dozorný orgán domnieva, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.
Spracúvanie osobných údajov by sa nemalo považovať za spracúvanie veľkého rozsahu, ak sa týka osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom.
V takýchto prípadoch by posúdenie vplyvu na ochranu údajov nemalo byť povinné.

- = -

(97) Ak spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo ak v súkromnom sektore vykonáva spracúvanie prevádzkovateľ, ktorého hlavnými činnosťami sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavnými činnosťami prevádzkovateľa alebo spracovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu a údajov týkajúcich sa uznania viny za trestné činy a priestupky, mala by prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia pomáhať osoba s odbornými znalosťami práva a postupov v oblasti ochrany údajov.
V súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti.
Potrebná úroveň odborných znalostí by sa mala určiť najmä v závislosti od vykonávaných operácií spracúvania údajov a od požadovanej ochrany osobných údajov, ktoré spracúva prevádzkovateľ alebo sprostredkovateľ.
Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.

- = -

(99) Pri vypracúvaní kódexu správania alebo pri zmene alebo rozšírení takého kódexu by mali združenia a iné subjekty reprezentujúce kategórie prevádzkovateľov alebo sprostredkovateľov konzultovať s príslušnými zainteresovanými stranami, a to podľa potreby aj s dotknutými osobami, a mali by zohľadniť doručené podania a názory vyjadrené v reakcii na takéto konzultácie.

- = -

(111) Mali by sa prijať ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi.
Mali by sa prijať ustanovenia aj o možnosti prenosov, ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v práve Únie alebo v práve členského štátu alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom.
V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

- = -

(112) Uvedené výnimky by sa mali uplatňovať predovšetkým na prenosy údajov, ktoré sa požadujú a sú potrebné zo závažných dôvodov verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu.
Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas.
Ak nie je k dispozícii rozhodnutie o primeranosti, môžu sa v práve Únie alebo v práve členského štátu zo závažných dôvodov verejného záujmu výslovne stanoviť obmedzenia prenosu osobitných kategórií údajov do tretej krajiny alebo medzinárodnej organizácii. Členské štáty by mali takéto ustanovenia oznámiť Komisii.
Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu, medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby.

- = -

(122) Každý dozorný orgán by mal byť príslušný vykonávať na území svojho členského štátu právomoci a úlohy, ktoré mu boli zverené v súlade s týmto nariadením.
To by sa malo týkať najmä spracúvania v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu, spracúvania osobných údajov, ktoré vykonávajú orgány verejnej moci alebo súkromnoprávne subjekty konajúce vo verejnom záujme, spracúvania, ktoré ovplyvňuje dotknuté osoby na jeho území, alebo spracúvania vykonávaného prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak je zacielený na dotknuté osoby s pobytom na území Únie.
To by malo zahŕňať vybavovanie sťažností podaných dotknutými osobami, vedenie vyšetrovaní týkajúcich sa uplatňovania tohto nariadenia a zvyšovanie povedomia verejnosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracúvaním osobných údajov.

- = -

(124) Ak sa spracúvanie osobných údajov uskutočňuje v kontexte činnosti prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii a prevádzkovateľ alebo sprostredkovateľ je usadený vo viac ako jednom členskom štáte alebo ak spracúvanie osobných údajov uskutočňujúce sa v kontexte činnosti jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte, by mal dozorný orgán pre hlavnú prevádzkareň prevádzkovateľa alebo sprostredkovateľa alebo pre jedinú prevádzkareň prevádzkovateľa alebo sprostredkovateľa konať ako vedúci orgán.
Mal by spolupracovať s inými dotknutými orgánmi, pretože prevádzkovateľ alebo sprostredkovateľ má prevádzkareň na území ich členského štátu, pretože dotknuté osoby s pobytom na ich území sú podstatne ovplyvnené alebo preto, že bola u nich podaná sťažnosť.
Rovnako, ak dotknutá osoba bez pobytu v tomto členskom štáte podala sťažnosť, dotknutým dozorným orgánom by mal byť aj dozorný orgán, na ktorom sa sťažnosť podala.
V rámci svojej úlohy vydávať usmernenia k akejkoľvek otázke týkajúcej sa uplatňovania tohto nariadenia by mal môcť výbor vydať usmernenia týkajúce sa najmä kritérií, ktoré sa majú zohľadniť s cieľom zistiť, či dané spracúvanie podstatne ovplyvňuje dotknuté osoby vo viac ako jednom členskom štáte, ako aj usmernenia k tomu, čo predstavuje relevantnú a odôvodnenú námietku.

- = -

(141) Každá dotknutá osoba by mala mať právo podať sťažnosť na jednom dozornom orgáne, a to predovšetkým v členskom štáte svojho obvyklého pobytu, a mať v súlade s článkom 47 Charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju odmietne, nevyhovie jej alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby.
Vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad.
Dozorný orgán by mal dotknutú osobu v primeranej lehote informovať o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti.
Ak si vec vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie.
Na účely uľahčenia podávania sťažností by mal každý dozorný orgán prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné vyplniť aj elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

- = -

(142) Ak sa dotknutá osoba domnieva, že sa jej práva podľa tohto nariadenia porušujú, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene na dozornom orgáne, uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb, alebo ak je to stanovené v práve členského štátu, uplatnili právo na náhradu škody v mene dotknutých osôb. Členský štát môže stanoviť, aby takýto subjekt, organizácia alebo združenie mali nezávisle od poverenia dotknutej osoby právo podať sťažnosť v tomto členskom štáte a právo na účinný súdny prostriedok nápravy, ak má dôvody domnievať sa, že došlo k porušeniu práv dotknutej osoby v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto nariadením.
Takémuto subjektu, organizácii alebo združeniu sa nesmie povoliť domáhať sa náhrady škody v mene dotknutej osoby nezávisle od poverenia dotknutej osoby.

- = -

(143) Každá fyzická alebo právnická osoba má právo podať na Súdnom dvore žalobu o vyhlásenie rozhodnutí výboru za neplatné, a to za podmienok stanovených v článku 263 ZFEÚ.
Ak majú dotknuté dozorné orgány, ktoré sú adresátmi takýchto rozhodnutí, v úmysle ich napadnúť, môžu podať žalobu v lehote dvoch mesiacov od ich oznámenia v súlade s článkom 263 ZFEÚ.
Ak sa rozhodnutia výboru priamo a osobne týkajú prevádzkovateľa, sprostredkovateľa alebo sťažovateľa, môžu proti týmto rozhodnutiam podať žalobu o ich neplatnosť v súlade s článkom 263 ZFEÚ v lehote dvoch mesiacov od uverejnenia týchto rozhodnutí na webovom sídle výboru.
Bez toho, aby bolo dotknuté toto právo podľa článku 263 ZFEÚ, každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky.
Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností.
Právo na účinný prostriedok nápravy však nezahŕňa opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán.
Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s procesným právom tohto členského štátu.
Tieto súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor.
Ak dozorný orgán sťažnosti nevyhovie alebo ju odmietne,

- = -

(145) Pri konaniach voči prevádzkovateľovi alebo sprostredkovateľovi by žalobca mal mať možnosť podať žalobu na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo kde má dotknutá osoba bydlisko, s výnimkou prípadov, keď prevádzkovateľom je orgán verejnej moci členského štátu pri výkone verejnej moci.

- = -

(146) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením.
Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť.
Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia.
Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu.
Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia.
Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.
Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, každý prevádzkovateľ alebo sprostredkovateľ by mal byť zodpovedný za celú škodu.
Ak sú však v súlade s právom členského štátu účastníkmi toho istého súdneho konania, náhrada škody sa môže rozdeliť podľa miery zodpovednosti každého prevádzkovateľa alebo sprostredkovateľa za škodu spôsobenú spracúvaním, pokiaľ je zaistená úplná a účinná náhrada pre dotknutú osobu, ktorá utrpela škodu.
Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.

- = -

(171) Smernica 95/46/ES by sa mala týmto nariadením zrušiť.
Spracúvanie, ktoré už prebieha v deň začatia uplatňovania tohto nariadenia, by sa malo zosúladiť s týmto nariadením do dvoch rokov odo dňa jeho nadobudnutia účinnosti.
Ak sa spracúvanie zakladá na súhlase podľa smernice 95/46/ES, nie je na to, aby prevádzkovateľ mohol pokračovať v tomto spracúvaní po dátume začatia uplatňovania tohto nariadenia potrebné, aby dotknutá osoba opätovne vyjadrila svoj súhlas, pokiaľ je spôsob, akým bol súhlas vyjadrený v súlade s podmienkami tohto nariadenia.
Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.

- = -

dal 2004 diritto e informatica