interactive GDPR 2016/0679 SK

1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.

2. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí:

a)	s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo

b)	so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie.

3. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 8

Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti

1. Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností.

Členské štáty môžu právnym predpisom stanoviť na tieto účely nižšiu vekovú hranicu za predpokladu, že takáto nižšia veková hranica nie je menej než 13 rokov.

2. Prevádzkovateľ vynaloží primerané úsilie, aby si v takýchto prípadoch overil, že nositeľ rodičovských práv a povinností vyjadril súhlas alebo ho schválil, pričom zohľadní dostupnú technológiu.

3. Odsekom 1 nie je dotknuté všeobecné zmluvné právo členských štátov, napríklad pravidlá platnosti, uzatvárania alebo účinkov zmluvy vo vzťahu k dieťaťu.

Článok 12

Transparentnosť informácií, oznámenia a postupy výkonu práv dotknutej osoby

1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.

2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.

3. Prevádzkovateľ poskytne dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe žiadosti podľa článkov 15 až 22, bez zbytočného odkladu a v každom prípade do jedného mesiaca od doručenia žiadosti. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. Prevádzkovateľ informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, bezodkladne a najneskôr do jedného mesiaca od doručenia žiadosti informuje dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť dozornému orgánu a uplatniť súdny prostriedok nápravy.

5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:

a)	požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo

b)	odmietnuť konať na základe žiadosti.

Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.

6. Bez toho, aby bol dotknutý článok 11, ak má prevádzkovateľ oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť uvedenú v článkoch 15 až 21, môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

7. Informácie, ktoré sa majú poskytnúť dotknutým osobám podľa článkov 13 a 14, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania. Ak sú ikony použité v elektronickej podobe, musia byť strojovo čitateľné.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon.

Oddiel 2

Informácie a prístup k osobným údajom

Článok 14

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	kategórie dotknutých osobných údajov;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)	doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

b)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

c)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

d)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

e)	právo podať sťažnosť dozornému orgánu;

f)	z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

g)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)	v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)	ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

c)	ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

a)	dotknutá osoba má už dané informácie;

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti;

c)	sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo

d)	v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

Článok 21

Právo namietať

1. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.

3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

4. Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

5. V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu 2002/58/ES môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.

6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.

Článok 23

Obmedzenia

1. V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

a)	národnú bezpečnosť;

obranu;

c)	verejnú bezpečnosť;

d)	predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie;

e)	iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

f)	ochranu nezávislosti súdnictva a súdnych konaní;

g)	predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie;

h)	monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g);

i)	ochranu dotknutej osoby alebo práv a slobôd iných;

j)	vymáhanie občianskoprávnych nárokov.

2. Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípadov upravujú aspoň:

a)	účely spracúvania alebo kategórie spracúvania;

b)	kategórie osobných údajov;

c)	rozsah zavedených obmedzení;

d)	záruky zabraňujúce zneužitiu údajov alebo nezákonnému prístupu či prenosu;

e)	určenie prevádzkovateľa alebo kategórií prevádzkovateľov;

f)	doby uchovávania a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania;

g)	riziká pre práva a slobody dotknutých osôb a

h)	práva dotknutých osôb na informovanie o obmedzení, pokiaľ tým nie je ohrozený účel obmedzenia.

KAPITOLA IV

Prevádzkovateľ a sprostredkovateľ

Oddiel 1

Všeobecné povinnosti

Článok 27

Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii

1. Ak sa uplatňuje článok 3 ods. 2, prevádzkovateľ alebo sprostredkovateľ písomne určí zástupcu v Únii.

2. Povinnosť stanovená v odseku 1 tohto článku sa nevzťahuje na:

spracúvanie, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa článku 9 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo

b)	orgán verejnej moci či verejnoprávny subjekt.

3. Zástupca musí byť usadený v jednom z tých členských štátov, v ktorých sa nachádzajú dotknuté osoby, ktorých osobné údaje sa spracúvajú v súvislosti s ponukou tovaru alebo služieb pre nich, alebo ktorých správanie sa sleduje.

4. Prevádzkovateľ alebo sprostredkovateľ poverí zástupcu, aby sa naňho popri prevádzkovateľovi alebo sprostredkovateľovi alebo namiesto prevádzkovateľa alebo sprostredkovateľa obracali najmä dozorné orgány a dotknuté osoby, a to vo všetkých otázkach týkajúcich sa spracúvania na účely zabezpečenia súladu s týmto nariadením.

5. Určením zástupcu prevádzkovateľom alebo sprostredkovateľom nie sú dotknuté právne prostriedky nápravy, ktoré by sa mohli iniciovať proti samotnému prevádzkovateľovi alebo sprostredkovateľovi.

Článok 30

Záznamy o spracovateľských činnostiach

1. Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

a)	meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

b)	účely spracúvania;

c)	opis kategórií dotknutých osôb a kategórií osobných údajov;

d)	kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

e)	v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

f)	podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

g)	podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

2. Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

a)	meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

b)	kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c)	v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

d)	podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

3. Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4. Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

5. Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.

Článok 32

Bezpečnosť spracúvania

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 36

Predchádzajúca konzultácia

1. Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

2. Ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým dozorný orgán nezíska informácie, o ktoré požiadal na účely konzultácie.

3. Pri konzultácii dozorného orgánu podľa odseku 1 poskytne prevádzkovateľ dozornému orgánu:

a)	v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania, najmä v prípade spracúvania v rámci skupiny podnikov;

b)	informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)	informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)	v príslušných prípadoch kontaktné údaje zodpovednej osoby;

e)	posúdenie vplyvu na ochranu údajov stanovené v článku 35 a

f)	akékoľvek ďalšie informácie, o ktoré dozorný orgán požiada.

4. Členské štáty uskutočňujú s dozorným orgánom konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

5. Bez ohľadu na odsek 1 sa na základe práva členského štátu môže od prevádzkovateľov vyžadovať, aby uskutočnili s dozorným orgánom konzultácie a získali od neho predchádzajúce povolenie v súvislosti so spracúvaním vykonávaným prevádzkovateľom na plnenie úlohy prevádzkovateľa vo verejnom záujme vrátane spracúvania v súvislosti so sociálnym zabezpečením a verejným zdravím.

Oddiel 4

Zodpovedná osoba

Článok 37

Určenie zodpovednej osoby

1. Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)	spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

2. Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

3. Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4. V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5. Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6. Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

7. Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Článok 39

Úlohy zodpovednej osoby

1. Zodpovedná osoba má aspoň tieto úlohy:

a)	poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;

monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

c)	poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35;

d)	spolupráca s dozorným orgánom;

e)	plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

2. Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Oddiel 5

Kódexy správania a certifikácia

Článok 40

Kódexy správania

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)	spravodlivým a transparentným spracúvaním;

b)	oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)	získavaním osobných údajov;

d)	pseudonymizáciou osobných údajov;

e)	informovaním verejnosti a dotknutých osôb;

f)	uplatnením práv dotknutých osôb;

g)	informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)	opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)	oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)	prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)	mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 43

Certifikačné subjekty

1. Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, certifikačné subjekty, ktoré majú primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov, vydajú a obnovia certifikáciu po tom, ako informujú dozorný orgán, aby mu umožnili uplatniť jeho právomoci podľa článku 58 ods. 2 písm. h). Členské štáty zabezpečia, aby boli tieto certifikačné subjekty akreditované jedným či oboma z týchto orgánov:

a)	dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56;

b)	národným akreditačným orgánom vymenovaným v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (20) v súlade s EN-ISO/IEC 17065/2012 a s dodatočnými požiadavkami stanovenými dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56.

2. Certifikačné subjekty uvedené v odseku 1 sú akreditované v súlade s uvedeným odsekom, len ak:

a)	preukázali svoju nezávislosť a odborné znalosti vo vzťahu k predmetu certifikácie k spokojnosti príslušného dozorného orgánu;

b)	zaviazali sa rešpektovať kritéria uvedené v článku 42 ods. 5 a schválené dozorným orgánom, ktorý je príslušný orgán podľa článku 55 alebo 56, alebo schválené výborom podľa článku 63;

c)	stanovili postupy na vydávanie, pravidelné preskúmanie a odoberanie certifikácie, pečatí a značiek ochrany údajov;

d)	stanovili postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým bola alebo je certifikácia vykonávaná prevádzkovateľom alebo sprostredkovateľom, a tieto postupy a štruktúry spravili transparentnými pre dotknuté osoby a verejnosť, a

e)	preukázali k spokojnosti príslušného dozorného orgánu, že ich úlohy a povinnosti nevedú ku konfliktu záujmov.

3. Akreditácia certifikačných subjektov podľa odsekov 1 a 2 tohto článku sa uskutoční na základe kritérií schválených dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56, alebo kritérií schválených výborom podľa článku 63. V prípade akreditácie podľa odseku 1 písm. b) tohto článku dopĺňajú tieto požiadavky tie požiadavky, ktoré sa stanovujú v nariadení (ES) č. 765/2008, a technické pravidlá, ktorými sa opisujú metódy a postupy certifikačných subjektov.

4. Certifikačné subjekty uvedené v odseku 1 sú zodpovedné za riadne posúdenie, ktoré povedie k certifikácii alebo odňatiu tejto certifikácie, pričom tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa zabezpečiť súlad s týmto nariadením. Akreditácia sa vydáva na maximálne obdobie piatich rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ certifikačný subjekt spĺňa požiadavky stanovené v tomto článku.

5. Certifikačné subjekty uvedené v odseku 1 informujú príslušné dozorné orgány o dôvodoch udelenia alebo odňatia požadovanej certifikácie.

6. Dozorný orgán zverejní požiadavky uvedené v odseku 3 tohto článku a kritériá uvedené v článku 42 ods. 5 v ľahko dostupnej forme. Dozorné orgány tiež zasielajú tieto požiadavky a kritériá výboru. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

7. Príslušný dozorný orgán alebo národný akreditačný orgán bez toho, aby bola dotknutá kapitola VIII, odoberie akreditáciu certifikačného subjektu podľa odseku 1 tohto článku, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak sú kroky podniknuté certifikačným subjektom v rozpore s týmto nariadením.

8. Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť požiadavky, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov uvedených v článku 42 ods. 1.

9. Komisia môže prijať vykonávacie akty stanovujúce technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 50

Medzinárodná spolupráca na účely ochrany osobných údajov

Vo vzťahu k tretím krajinám a medzinárodným organizáciám Komisia a dozorné orgány prijmú primerané opatrenia s cieľom:

a)	vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

c)	zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

d)	podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o príslušnosť s tretími krajinami.

KAPITOLA VI

Nezávislé dozorné orgány

Oddiel 1

Nezávislé postavenie

Článok 56

Príslušnosť hlavného dozorného orgánu

1. Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60.

2. Odchylne od odseku 1 je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením tohto nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte.

3. V prípadoch uvedených v odseku 2 tohto článku dozorný orgán o tejto otázke bezodkladne informuje vedúci dozorný orgán. Vedúci dozorný orgán rozhodne v lehote troch týždňov odvtedy, ako bol informovaný, či sa bude alebo nebude prípadom zaoberať v súlade s postupom stanoveným v článku 60, pričom zohľadní, či prevádzkovateľ alebo sprostredkovateľ má alebo nemá prevádzkareň v členskom štáte dozorného orgánu, ktorý ho informoval.

4. Ak vedúci dozorný orgán rozhodne, že sa prípadom bude zaoberať, uplatňuje sa postup stanovený v článku 60. Dozorný orgán, ktorý informoval vedúci dozorný orgán, môže vedúcemu dozornému orgánu predložiť návrh rozhodnutia. Vedúci dozorný orgán uvedený návrh rozhodnutia v čo najväčšej miere zohľadní pri vypracúvaní návrhu rozhodnutia uvedeného v článku 60 ods. 3.

5. Ak vedúci dozorný orgán rozhodne, že sa prípadom nebude zaoberať, v súlade s článkami 61 a 62 sa prípadom bude zaoberať dozorný orgán, ktorý informoval vedúci dozorný orgán.

6. Vedúci dozorný orgán je jediným partnerom prevádzkovateľa alebo sprostredkovateľa v súvislosti s cezhraničným spracúvaním vykonávaným týmto prevádzkovateľom alebo sprostredkovateľom.

Článok 61

Vzájomná pomoc

1. Dozorné orgány si navzájom poskytujú relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania tohto nariadenia a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o predchádzajúce povolenie a konzultácie, kontroly a vyšetrovania.

2. Každý dozorný orgán prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantných informácií o vedení vyšetrovania.

3. Žiadosti o pomoc obsahujú všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú len na účel, na ktorý boli vyžiadané.

4. Dožiadaný dozorný orgán nesmie odmietnuť vyhovieť žiadosti s výnimkou prípadu, keď:

a)	nie je príslušný pre predmet žiadosti alebo pre opatrenia, o vykonanie ktorých bol požiadaný, alebo

b)	vyhovenie žiadosti by bolo v rozpore s týmto nariadením alebo s právom Únie alebo s právom členského štátu, ktorému podlieha dozorný orgán, ktorému bola žiadosť doručená.

5. Dožiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom reagovať na žiadosť alebo prípadne o pokroku dosiahnutom v tejto súvislosti. Dožiadaný dozorný orgán v prípade odmietnutia žiadosti podľa odseku 4 toto odmietnutie odôvodní.

6. Dožiadané dozorné orgány poskytnú informácie požadované inými dozornými orgánmi spravidla elektronickými prostriedkami, pričom používajú štandardizovaný formát.

7. Dožiadané dozorné orgány neúčtujú za opatrenie, ktoré vykonali na základe žiadosti o vzájomnú pomoc, žiadny poplatok. Dozorné orgány sa môžu dohodnúť na pravidlách vzájomnej náhrady v prípade špecifických výdavkov, ktoré vyplývajú z poskytnutia vzájomnej pomoci za výnimočných okolností.

8. Ak dozorný orgán neposkytne informácie uvedené v odseku 5 tohto článku do jedného mesiaca od doručenia žiadosti od iného dozorného orgánu, žiadajúci dozorný orgán môže prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55 ods. 1. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

9. Komisia môže prostredníctvom vykonávacích aktov spresniť formát a postupy pre vzájomnú pomoc uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a výborom, najmä štandardizovaný formát uvedený v odseku 6 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 64

Stanovisko výboru

1. Výbor vydá stanovisko, keď má príslušný dozorný orgán v úmysle prijať ktorékoľvek z opatrení uvedených nižšie. Na tento účel príslušný dozorný orgán oznámi výboru návrh rozhodnutia, ak:

a)	je zamerané na prijatie zoznamu spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa článku 35 ods. 4;

b)	sa týka záležitosti podľa článku 40 ods. 7, a to či návrh kódexu správania alebo zmena alebo rozšírenie kódexu správania je v súlade s týmto nariadením;

c)	je zamerané na schválenie kritérií pre akreditáciu orgánu podľa článku 41 ods. 3 alebo certifikačného subjektu podľa článku 43 ods. 3;

d)	je zamerané na určenie štandardných doložiek o ochrane údajov uvedených v článku 46 ods. 2 písm. d) a článku 28 ods. 8;

e)	je zamerané na povolenie zmluvných doložiek uvedených v článku 46 ods. 3 písm. a) alebo

f)	je zamerané na schválenie záväzných vnútropodnikových pravidiel v zmysle článku 47.

2. Ktorýkoľvek dozorný orgán, predseda výboru alebo Komisia môže požiadať, aby akúkoľvek záležitosť so všeobecným uplatnením alebo s účinkami vo viac ako jednom členskom štáte preskúmal výbor s cieľom získať stanovisko, najmä ak si príslušný dozorný orgán neplní povinnosti týkajúce sa vzájomnej pomoci podľa článku 61 alebo spoločných operácií podľa článku 62.

3. V prípadoch uvedených v odsekoch 1 a 2 výbor vydá stanovisko k záležitosti, ktorá sa mu predloží, ak ešte k rovnakej záležitosti stanovisko nevydal. Uvedené stanovisko sa prijme do ôsmich týždňov jednoduchou väčšinou členov výboru. Uvedená lehota sa môže predĺžiť o ďalších šesť týždňov, pričom sa zohľadní zložitosť danej záležitosti. Pokiaľ ide o návrh rozhodnutia uvedený v odseku 1, ktorý sa rozošle členom výboru v súlade s odsekom 5, o členovi, ktorý nevznesie námietku v primeranej lehote určenej predsedom, sa predpokladá, že s návrhom rozhodnutia súhlasí.

4. Dozorné orgány a Komisia bez zbytočného odkladu oznamujú elektronickými prostriedkami výboru všetky relevantné informácie a podľa potreby aj zhrnutie skutočností, návrh rozhodnutia, dôvody, pre ktoré je prijatie takéhoto opatrenia potrebné, a názory ostatných dotknutých dozorných orgánov, pričom používajú štandardizovaný formát.

5. Predseda výboru bez zbytočného odkladu informuje elektronickými prostriedkami:

a)	členov výboru a Komisiu o všetkých relevantných informáciách, ktoré mu boli oznámené, pričom používa štandardizovaný formát. Sekretariát výboru podľa potreby poskytne preklady relevantných informácií a

b)	dozorný orgán uvedený v odseku 1, a prípadne v odseku 2, a Komisiu o stanovisku a zverejní ho.

6. Príslušný dozorný orgán neprijme svoj návrh rozhodnutia uvedený v odseku 1 v lehote uvedenej v odseku 3.

7. Dozorný orgán uvedený v odseku 1 v čo najväčšej miere zohľadní stanovisko výboru a do dvoch týždňov po získaní stanoviska predsedovi výboru elektronickými prostriedkami oznámi, či bude trvať na svojom návrhu rozhodnutia alebo ho zmení, a podľa potreby mu oznámi aj zmenený návrh rozhodnutia, pričom použije štandardizovaný formát.

8. Ak dotknutý dozorný orgán informuje predsedu výboru v rámci lehoty uvedenej v odseku 7 tohto článku o tom, že nemá v úmysle postupovať úplne alebo sčasti podľa stanoviska výboru, pričom poskytne relevantné dôvody, uplatňuje sa článok 65 ods. 1.

Článok 65

Riešenie sporov výborom

1. S cieľom zabezpečiť správne a jednotné uplatňovanie tohto nariadenia v jednotlivých prípadoch prijme výbor záväzné rozhodnutie v týchto prípadoch:

ak v prípade uvedenom v článku 60 ods. 4 dotknutý dozorný orgán vzniesol relevantnú a odôvodnenú námietku voči návrhu rozhodnutia vedúceho orgánu alebo vedúci orgán zamietol takúto námietku ako irelevantnú alebo neodôvodnenú. Toto záväzné rozhodnutie sa týka všetkých záležitostí, ktoré sú predmetom relevantnej a odôvodnenej námietky, najmä pokiaľ ide o to, či došlo k porušeniu tohto nariadenia;

b)	ak existujú protichodné názory na to, ktorý z dotknutých dozorných orgánov je príslušný pre hlavnú prevádzkareň;

c)	ak príslušný dozorný orgán nepožiada výbor o stanovisko v prípadoch uvedených v článku 64 ods. 1 alebo nepostupuje podľa stanoviska výboru vydaného podľa článku 64. V tomto prípade môže záležitosť oznámiť výboru ktorýkoľvek dotknutý dozorný orgán alebo Komisia.

2. Rozhodnutie uvedené v odseku 1 sa prijme do jedného mesiaca od postúpenia záležitosti dvojtretinovou väčšinou členov výboru. Uvedená lehota sa môže predĺžiť o ďalší mesiac z dôvodu zložitosti danej záležitosti. Rozhodnutie uvedené v odseku 1 musí byť odôvodnené a adresované vedúcemu dozornému orgánu a všetkým dotknutým dozorným orgánom, pričom je pre ne záväzné.

3. Ak výbor nebol schopný prijať rozhodnutie v lehotách uvedených v odseku 2, prijme svoje rozhodnutie do dvoch týždňov od uplynutia druhého mesiaca uvedeného v odseku 2 jednoduchou väčšinou členov výboru. V prípade rovnosti hlasov členov výboru sa rozhodnutie prijme na základe hlasu jeho predsedu.

4. Počas lehôt uvedených v odsekoch 2 a 3 neprijmú dotknuté dozorné orgány vo veci predloženej výboru podľa odseku 1 rozhodnutie.

5. Predseda výboru oznámi bez zbytočného odkladu rozhodnutie uvedené v odseku 1 dotknutým dozorným orgánom. Informuje o tom Komisiu. Rozhodnutie sa bez odkladu uverejní na webovom sídle výboru po tom, ako dozorný orgán oznámil konečné rozhodnutie uvedené v odseku 6.

6. Vedúci dozorný orgán alebo prípadne dozorný orgán, ktorému sa podala sťažnosť, prijme svoje konečné rozhodnutie na základe rozhodnutia uvedeného v odseku 1 tohto článku bez zbytočného odkladu a najneskôr do jedného mesiaca po tom, ako výbor oznámil svoje rozhodnutie. Vedúci dozorný orgán alebo prípadne dozorný orgán, ktorému sa sťažnosť podala, informuje výbor o dátume oznámenia konečného rozhodnutia prevádzkovateľovi alebo sprostredkovateľovi a dotknutej osobe. Konečné rozhodnutie dotknutých dozorných orgánov sa prijme za podmienok stanovených v článku 60 ods. 7, 8 a 9. Konečné rozhodnutie odkazuje na rozhodnutie uvedené v odseku 1 tohto článku a uvedie sa v ňom, že rozhodnutie uvedené v uvedenom odseku sa uverejní na webovom sídle výboru v súlade s odsekom 5 tohto článku. Ku konečnému rozhodnutiu sa pripojí rozhodnutie uvedené v odseku 1 tohto článku.

Článok 66

Postup pre naliehavé prípady

1. Za výnimočných okolností, keď sa dotknutý dozorný orgán domnieva, že je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, môže odchylne od mechanizmu konzistentnosti uvedeného v článkoch 63, 64 a 65 alebo postupu uvedeného v článku 60 bezodkladne prijať predbežné opatrenia, ktoré majú mať právne účinky na jeho území a určenú dobu platnosti, ktorá nepresahuje tri mesiace. Dozorný orgán bezodkladne oznámi tieto opatrenia a dôvody ich prijatia iným dotknutým dozorným orgánom, výboru a Komisii.

2. Ak dozorný orgán prijal opatrenie podľa odseku 1 a domnieva sa, že je naliehavo potrebné prijať konečné opatrenia, môže požiadať výbor o naliehavé stanovisko alebo naliehavé záväzné rozhodnutie, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje.

3. Ktorýkoľvek dozorný orgán môže požiadať výbor o naliehavé stanovisko alebo prípadne o naliehavé záväzné rozhodnutie, ak príslušný dozorný orgán neprijal primerané opatrenie v situácii, keď je naliehavo potrebné konať s cieľom chrániť práva a slobody dotknutých osôb, pričom uvedie dôvody, prečo takéto stanovisko alebo rozhodnutie požaduje, vrátane dôvodov naliehavej potreby konať.

4. Odchylne od článku 64 ods. 3 a článku 65 ods. 2 sa naliehavé stanovisko alebo naliehavé záväzné rozhodnutie uvedené v odsekoch 2 a 3 tohto článku prijme do dvoch týždňov jednoduchou väčšinou členov výboru.

Článok 70

Úlohy výboru

1. Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)	monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)	poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)	poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)	vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)	preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)	vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)	preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)	nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)	vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)	spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)	poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)	poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)	vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)	podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)	podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)	podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)	poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)	vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2. Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3. Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4. Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

Článok 83

Všeobecné podmienky ukladania správnych pokút

1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)	povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)	úmyselný alebo nedbanlivostný charakter porušenia;

c)	akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

d)	miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;

e)	akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;

f)	miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;

g)	kategórie osobných údajov, ktorých sa porušenie týka;

h)	spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;

i)	ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;

j)	dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a

k)	akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;

b)	povinnosti certifikačného subjektu podľa článkov 42 a 43;

c)	povinnosti monitorujúceho subjektu podľa článku 41 ods. 4.

5. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;

b)	práva dotknutých osôb podľa článkov 12 až 22;

c)	prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 44 až 49;

d)	akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;

e)	nesplnenie príkazu alebo nedodržanie dočasného alebo definitívneho obmedzenia spracúvania alebo pozastavenia tokov údajov nariadeného dozorným orgánom podľa článku 58 ods. 2, alebo v rozpore s článkom 58 ods. 1 neposkytnutie prístupu.

6. Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

7. Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.

8. Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

9. Ak sa v právnom systéme členského štátu nestanovujú správne pokuty, tento článok sa môže uplatňovať tak, že uloženie pokuty iniciuje príslušný dozorný orgán a uloží ju príslušný vnútroštátny súd, pričom sa zabezpečí, aby tieto právne prostriedky nápravy boli účinné a mali rovnocenný účinok ako správne pokuty ukladané dozornými orgánmi. Ukladané pokuty musia byť v každom prípade účinné, primerané a odrádzajúce. Uvedené členské štáty oznámia ustanovenia svojich právnych predpisov, ktoré prijmú podľa tohto odseku, Komisii do 25. mája 2018 a bezodkladne oznámia aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.

Článok 89

Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

1. Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.

2. Keď sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, v práve Únie alebo v práve členského štátu sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

3. Keď sa osobné údaje spracúvajú na účely archivácie vo verejnom záujme, v práve Únie alebo vo vnútroštátnom práve sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18, 19, 20 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

4. Ak spracúvanie uvedené v odsekoch 2 a 3 slúži súčasne aj na iný účel, odchýlky sa vzťahujú iba na spracúvanie na účely uvedené v uvedených odsekov.

Článok 97

Správy Komisie

1. Komisia do 25. mája 2020 a potom každé štyri roky predkladá Európskemu parlamentu a Rade správu o hodnotení a preskúmaní tohto nariadenia. Správy sa zverejnia.

2. V kontexte hodnotení a preskúmaní uvedených v odseku 1 Komisia preskúma najmä uplatňovanie a fungovanie:

a)	kapitoly V o prenose osobných údajov do tretích krajín alebo medzinárodným organizáciám s osobitným zameraním na rozhodnutia prijaté podľa článku 45 ods. 3 tohto nariadenia a rozhodnutia prijaté na základe článku 25 ods. 6 smernice 95/46/ES;

b)	kapitoly VII o spolupráci a konzistentnosti.

3. Na účely odseku 1 môže Komisia žiadať informácie od členských štátov a dozorných orgánov.

4. Komisia pri hodnoteniach a preskúmaniach uvedených v odsekoch 1 a 2 zohľadní stanoviská a zistenia Európskeho parlamentu, Rady a iných relevantných subjektov alebo zdrojov.

5. Komisia v prípade potreby predloží vhodné návrhy na zmenu tohto nariadenia, pričom zohľadní najmä vývoj v oblasti informačných technológií a vychádza z aktuálneho stavu pokroku v informačnej spoločnosti.

whereas

(36) Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň.
Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť podľa objektívnych kritérií a mala by zahŕňať efektívne a skutočné vykonávanie riadiacich činností, pri ktorých sa prijímajú hlavné rozhodnutia týkajúce sa účelu a prostriedkov spracúvania prostredníctvom stálych dojednaní.
Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste.
Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe hlavnú prevádzkáreň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň.
Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii.
V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení.
V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa.
Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik.

- = -

(37) Skupinu podnikov by mal zahŕňať riadiaci podnik a ním riadené podniky, pričom riadiaci podnik by mal byť podnikom, ktorý môže vykonávať dominantný vplyv na ostatné podniky napríklad v dôsledku toho, že ich vlastní, v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku právomoci presadiť vykonávanie pravidiel ochrany osobných údajov.
Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.

- = -

(47) Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi.
Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách.
Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť.
Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie.
Keďže je úlohou zákonodarcu, aby v právnych predpisoch stanovil právny základ pre spracúvanie osobných údajov orgánmi verejnej moci, tento právny základ by sa nemal vzťahovať na spracúvanie orgánmi verejnej moci pri plnení ich úloh.
Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov.
Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

- = -

(51) Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká.
Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás.
Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby.
Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nie je povolené v osobitných prípadoch stanovených v tomto nariadení, pričom sa zohľadní, že právo členských štátov môže stanoviť osobitné ustanovenia o ochrane údajov, ktorými prispôsobia uplatňovanie pravidiel tohto nariadenia na účely splnenia zákonnej povinnosti alebo úlohy realizovanej vo verejnom záujme či pri výkone verejnej moci zverenej prevádzkovateľovi.
Okrem osobitných požiadaviek na takéto spracúvanie by sa mali uplatňovať všeobecné zásady a iné pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky pre zákonné spracúvanie.
Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.

- = -

(55) Okrem toho sa spracúvanie osobných údajov oficiálnymi orgánmi na účel dosiahnutia cieľov oficiálne uznaných náboženských združení, pričom ide o ciele stanovené ústavným právom alebo medzinárodným právom verejným, vykonáva vo verejnom záujme.

- = -

(60) Zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch.
Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú.
Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania.
Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne.
Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania.
Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

- = -

(70) Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba by mala mať právo namietať proti takému spracúvaniu vrátane profilovania, pokiaľ súvisí s takýmto priamym marketingom, bez ohľadu na to, či ide o pôvodné alebo ďalšie spracúvanie, a to kedykoľvek a bezplatne.
Dotknutá osoba by mala byť výslovne upozornená na uvedené právo, pričom sa uvedené právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

- = -

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky.
Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov.
Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

- = -

(80) Ak prevádzkovateľ alebo sprostredkovateľ, ktorý nie je usadený v Únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, pričom jeho spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Únii, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Únii, prevádzkovateľ alebo sprostredkovateľ by mal určiť zástupcu okrem prípadov, keď spracúvanie, ktoré vykonáva, je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.
Zástupca by mal konať v mene prevádzkovateľa alebo sprostredkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán.
Zástupca by mal byť výslovne určený písomným poverením prevádzkovateľa alebo sprostredkovateľa, aby konal v jeho mene v súvislosti s jeho povinnosťami podľa tohto nariadenia.
Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto nariadenia.
Takýto zástupca by mal vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa a ktoré zahŕňa spoluprácu s príslušnými dozornými orgánmi v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto nariadením.
V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca by mal podliehať konaniam na presadenie práva.

- = -

(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie.
Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť.
Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

- = -

(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby.
Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.
Ak nie je možné oznámenie podať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

- = -

(87) Malo by sa zistiť, či sa prijali všetky primerané technické ochranné a organizačné opatrenia na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov, a na promptné informovanie dozorného orgánu a dotknutej osoby.
Malo by sa zistiť, či sa oznámenie uskutočnilo bez zbytočného odkladu, pričom sa zohľadňuje najmä povaha a závažnosť porušenia ochrany osobných údajov, dôsledky tohto porušenia a nepriaznivé dôsledky pre dotknutú osobu.
Toto oznámenie môže viesť k zásahu dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení.

- = -

(90) V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika.
Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

- = -

(98) Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania v rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikropodnikov a malých a stredných podnikov.
V takýchto kódexoch správania by sa mohli najmä nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania, pokiaľ ide o práva a slobody fyzických osôb.

- = -

(111) Mali by sa prijať ustanovenia o možnosti prenosov za určitých okolností, ak dotknutá osoba dala výslovný súhlas, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie vrátane konaní pred regulačnými orgánmi.
Mali by sa prijať ustanovenia aj o možnosti prenosov, ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v práve Únie alebo v práve členského štátu alebo ak je prenos realizovaný z registra vytvoreného na základe právneho predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom.
V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a základné práva dotknutej osoby.

- = -

(126) Na rozhodnutí by sa mali spoločne dohodnúť vedúci dozorný orgán a dotknuté dozorné orgány, pričom toto rozhodnutie by malo byť adresované hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa a malo by byť pre prevádzkovateľa a sprostredkovateľa záväzné.
Prevádzkovateľ alebo sprostredkovateľ by mali prijať opatrenia potrebné na zabezpečenie súladu s týmto nariadením a vykonania rozhodnutia, ktoré vedúci dozorný orgán oznámil hlavnej prevádzkarni prevádzkovateľa alebo sprostredkovateľa, pokiaľ ide o spracovateľské činnosti v Únii.

- = -

(143) Každá fyzická alebo právnická osoba má právo podať na Súdnom dvore žalobu o vyhlásenie rozhodnutí výboru za neplatné, a to za podmienok stanovených v článku 263 ZFEÚ.
Ak majú dotknuté dozorné orgány, ktoré sú adresátmi takýchto rozhodnutí, v úmysle ich napadnúť, môžu podať žalobu v lehote dvoch mesiacov od ich oznámenia v súlade s článkom 263 ZFEÚ.
Ak sa rozhodnutia výboru priamo a osobne týkajú prevádzkovateľa, sprostredkovateľa alebo sťažovateľa, môžu proti týmto rozhodnutiam podať žalobu o ich neplatnosť v súlade s článkom 263 ZFEÚ v lehote dvoch mesiacov od uverejnenia týchto rozhodnutí na webovom sídle výboru.
Bez toho, aby bolo dotknuté toto právo podľa článku 263 ZFEÚ, každá fyzická alebo právnická osoba by mala mať na príslušnom vnútroštátnom súde účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči nej právne účinky.
Takéto rozhodnutie sa týka najmä výkonu vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom alebo nevyhovenia či odmietnutia sťažností.
Právo na účinný prostriedok nápravy však nezahŕňa opatrenia dozorných orgánov, ktoré nie sú právne záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol dozorný orgán.
Návrh na začatie konania proti dozornému orgánu by sa mal podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo, pričom toto konanie by malo prebiehať v súlade s procesným právom tohto členského štátu.
Tieto súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné pre daný spor.
Ak dozorný orgán sťažnosti nevyhovie alebo ju odmietne,

- = -

(150) S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty.
V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie.
Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ.
Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby.
Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery.
Uložením správnej pokuty alebo varovaním nie je dotknuté uplatňovanie iných právomocí dozorných orgánov alebo iné sankcie podľa tohto nariadenia.

- = -

(163) Dôverné informácie, ktoré štatistické orgány Únie a členských štátov získavajú na účely tvorby oficiálnych európskych a vnútroštátnych štatistík, by mali byť chránené.
Európske štatistiky by sa mali rozvíjať, vytvárať a šíriť v súlade so štatistickými zásadami stanovenými v článku 338 ods. 2 ZFEÚ, pričom vnútroštátne štatistiky by mali byť aj v súlade s právom členského štátu. Ďalšie spresnenia týkajúce sa dôvernosti štatistických údajov pre európske štatistiky sa uvádzajú v nariadení Európskeho parlamentu a Rady (ES) č. 223/2009 (16).

- = -

dal 2004 diritto e informatica