interactive GDPR 2016/0679 SK

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 12

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

a)	požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)	odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6. Bez toho, aby bol dotknutý článok 11, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 15 až 21, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7. Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 13 a 14, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon.

Oddiel 2

Informácie a prístup k osobným údajom

Článok 34

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2. Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d).

3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)	prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky;

c)	by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

Oddiel 3

Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Článok 36

Predchádzajúca konzultácia

1. Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

2. Ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým dozorný orgán nezíska informácie, o ktoré požiadal na účely konzultácie.

3. Pri konzultácii dozorného orgánu podľa odseku 1 poskytne prevádzkovateľ dozornému orgánu:

a)	v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania, najmä v prípade spracúvania v rámci skupiny podnikov;

b)	informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)	informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)	v príslušných prípadoch kontaktné údaje zodpovednej osoby;

e)	posúdenie vplyvu na ochranu údajov stanovené v článku 35 a

f)	akékoľvek ďalšie informácie, o ktoré dozorný orgán požiada.

4. Členské štáty uskutočňujú s dozorným orgánom konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

5. Bez ohľadu na odsek 1 sa na základe práva členského štátu môže od prevádzkovateľov vyžadovať, aby uskutočnili s dozorným orgánom konzultácie a získali od neho predchádzajúce povolenie v súvislosti so spracúvaním vykonávaným prevádzkovateľom na plnenie úlohy prevádzkovateľa vo verejnom záujme vrátane spracúvania v súvislosti so sociálnym zabezpečením a verejným zdravím.

Oddiel 4

Zodpovedná osoba

Článok 46

Prenosy vyžadujúce primerané záruky

1. Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

a)	právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)	záväzných vnútropodnikových pravidiel v súlade s článkom 47;

c)	štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;

d)	štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán, a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2;

e)	schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

f)	schváleného certifikačného mechanizmu podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb.

3. S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)	zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, alebo

b)	ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4. Dozorný orgán uplatňuje mechanizmus konzistentnosti uvedený v článku 63 v prípadoch uvedených v odseku 3 tohto článku.

5. Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.

Článok 66

Postup pre naliehavé prípady

1. Za výnimočných okolností, keď sa dotknutý dozorný orgán domnieva, že je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, môže odchylne od mechanizmu konzistentnosti uvedeného v článkoch 63, 64 a 65 alebo postupu uvedeného v článku 60 bezodkladne prijať predbežné opatrenia, ktoré majú mať právne účinky na jeho území a určenú dobu platnosti, ktorá nepresahuje tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia a dôvody ich prijatia iným dotknutým dozorným orgánom, výboru a Komisii.

2. Ak dozorný orgán prijal opatrenie podľa odseku 1 a domnieva sa, že je naliehavo potrebné prijať konečné opatrenia, môže požiadať výbor o naliehavé stanovisko alebo naliehavé záväzné rozhodnutie, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje.

3. Ktorýkoľvek dozorný orgán môže požiadať výbor o naliehavé stanovisko alebo prípadne o naliehavé záväzné rozhodnutie, ak príslušný dozorný orgán neprijal primerané opatrenie v situácii, keď je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje, vrátane dôvodov naliehavej potreby konať.

4. Odchylne od článku 64 ods. 3 a článku 65 ods. 2 sa naliehavé stanovisko alebo naliehavé záväzné rozhodnutie uvedené v odsekoch 2 a 3 tohto článku prijme do dvoch týždňov jednoduchou väčšinou členov výboru.

Článok 83

Všeobecné podmienky ukladania správnych pokút

1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)	povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)	úmyselný alebo nedbanlivostný charakter porušenia;

c)	akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

d)	miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;

e)	akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;

f)	miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;

g)	kategórie osobných údajov, ktorých sa porušenie týka;

h)	spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;

i)	ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;

j)	dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a

k)	akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;

b)	povinnosti certifikačného subjektu podľa článkov 42 a 43;

c)	povinnosti monitorujúceho subjektu podľa článku 41 ods. 4.

5. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;

b)	práva dotknutých osôb podľa článkov 12 až 22;

c)	prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 44 až 49;

d)	akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;

e)	nesplnenie príkazu alebo nedodržanie dočasného alebo definitívneho obmedzenia spracúvania alebo pozastavenia tokov údajov nariadeného dozorným orgánom podľa článku 58 ods. 2, alebo v rozpore s článkom 58 ods. 1 neposkytnutie prístupu.

6. Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

7. Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.

8. Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

9. Ak sa v právnom systéme členského štátu nestanovujú správne pokuty, tento článok sa môže uplatňovať tak, že uloženie pokuty iniciuje príslušný dozorný orgán a uloží ju príslušný vnútroštátny súd, pričom sa zabezpečí, aby tieto právne prostriedky nápravy boli účinné a mali rovnocenný účinok ako správne pokuty ukladané dozornými orgánmi. Ukladané pokuty musia byť v každom prípade účinné, primerané a odrádzajúce. Uvedené členské štáty oznámia ustanovenia svojich právnych predpisov, ktoré prijmú podľa tohto odseku, Komisii do 25. mája 2018 a bezodkladne oznámia aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.

Článok 85

Spracúvanie a sloboda prejavu a právo na informácie

1. Členské štáty právnymi prepismi zosúladia právo na ochranu osobných údajov podľa tohto nariadenia s právom na slobodu prejavu a právom na informácie vrátane spracúvania na žurnalistické účely a na účely akademickej, umeleckej alebo literárnej tvorby.

2. Pokiaľ ide o spracúvanie vykonávané na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby, členské štáty stanovia výnimky alebo odchýlky z kapitoly II (zásady), kapitoly III (práva dotknutej osoby), kapitoly IV (prevádzkovateľ a sprostredkovateľ), kapitoly V (prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám), kapitoly VI (nezávislé dozorné orgány), kapitoly VII (spolupráca a konzistentnosť) a kapitoly IX (osobitné situácie spracúvania údajov), ak sú potrebné na zosúladenie práva na ochranu osobných údajov so slobodou prejavu a právom na informácie.

3. Každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijal podľa odseku 2, a bezodkladne oznámi aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.

whereas

(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch.
Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie.
Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení.
Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES, prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy.
Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len „citlivé údaje“).
V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.

- = -

(29) V záujme vytvorenia stimulov na používanie pseudonymizácie pri spracúvaní osobných údajov by sa mali pri súčasnom umožnení všeobecnej analýzy umožniť opatrenia na pseudonymizáciu v rámci toho istého prevádzkovateľa v prípade, že daný prevádzkovateľ prijal technické a organizačné opatrenia potrebné na zabezpečenie vykonania tohto nariadenia vo vzťahu k danému spracúvaniu, a na zabezpečenie toho, že sa dodatočné informácie na priradenie osobných údajov konkrétnej dotknutej osobe uchovávajú oddelene.
Prevádzkovateľ, ktorý spracúva osobné údaje, by mal určiť oprávnené osoby v rámci toho istého prevádzkovateľa.

- = -

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky.
Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov.
Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

- = -

(87) Malo by sa zistiť, či sa prijali všetky primerané technické ochranné a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby.
Malo by sa zistiť, či sa oznámenie uskutočnilo bez zbytočného odkladu, pričom sa zohľadňuje najmä povaha a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé dôsledky pre dotknutú osobu.
Toto oznámenie môže viesť k zásahu dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení.

- = -

(114) V každom prípade, ak Komisia neprijala rozhodnutie o primeranej úrovni ochrany údajov v tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mali využiť riešenia, ktoré dotknutým osobám poskytujú vymožiteľné a účinné práva, že budú aj naďalej môcť uplatňovať základné práva a záruky, pokiaľ ide o spracúvanie ich údajov v Únii, keď budú tieto údaje prenesené.

- = -

(129) S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tohto nariadenia v celej Únii by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane právomocí v oblasti vyšetrovania, nápravných opatrení a sankcií a právomocí v oblasti povoľovania a poradenstva, najmä v prípadoch sťažností fyzických osôb, a bez toho, aby boli dotknuté právomoci vyšetrovacích orgánov podľa práva členského štátu, právo upozorniť justičné orgány na porušovanie tohto nariadenia a zúčastniť sa na súdnom konaní.
Takéto právomoci by mali tiež zahŕňať právomoc nariadiť dočasné alebo trvalé obmedzenie spracúvania, vrátane zákazu spracúvania. Členské štáty môžu určiť ďalšie úlohy súvisiace s ochranou osobných údajov podľa tohto nariadenia.
Právomoci dozorných orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami stanovenými v práve Únie a v práve členského štátu, nestranne, spravodlivo a v primeranej lehote.
Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by pre ňu mohlo mať nepriaznivé dôsledky, a nemalo by dotknutým osobám spôsobovať zbytočné náklady a neprimerané ťažkosti.
Vyšetrovacie právomoci týkajúce sa prístupu do priestorov, by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v procesnom práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia.
Každé právne záväzné opatrenie dozorného orgánu by malo byť v písomnej podobe, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dozorný orgán, ktorý ho vydal, dátum jeho vydania, podpis vedúceho alebo ním povereného člena dozorného orgánu, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy.
To by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu.
Z prijatia právne záväzného rozhodnutia vyplýva, že môže viesť k súdnemu preskúmaniu v členskom štáte dozorného orgánu, ktorý rozhodnutie prijal.

- = -

(150) S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty.
V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie.
Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ.
Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby.
Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery.
Uložením správnej pokuty alebo varovaním nie je dotknuté uplatňovanie iných právomocí dozorných orgánov alebo iné sankcie podľa tohto nariadenia.

- = -

(171) Smernica 95/46/ES by sa mala týmto nariadením zrušiť.
Spracúvanie, ktoré už prebieha v deň začatia uplatňovania tohto nariadenia, by sa malo zosúladiť s týmto nariadením do dvoch rokov odo dňa jeho nadobudnutia účinnosti.
Ak sa spracúvanie zakladá na súhlase podľa smernice 95/46/ES, nie je na to, aby prevádzkovateľ mohol pokračovať v tomto spracúvaní po dátume začatia uplatňovania tohto nariadenia potrebné, aby dotknutá osoba opätovne vyjadrila svoj súhlas, pokiaľ je spôsob, akým bol súhlas vyjadrený v súlade s podmienkami tohto nariadenia.
Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.

- = -

dal 2004 diritto e informatica