interactive GDPR 2016/0679 SK

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)	primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)	správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“);

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“);

f)	spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 16

Právo na opravu

Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.

Článok 23

Obmedzenia

1. V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

a)	národnú bezpečnosť;

obranu;

c)	verejnú bezpečnosť;

d)	predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie;

e)	iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia;

f)	ochranu nezávislosti súdnictva a súdnych konaní;

g)	predchádzanie porušeniam etiky pre regulované profesie, ich vyšetrovanie, odhaľovanie a stíhanie;

h)	monitorovaciu, kontrolnú alebo regulačnú funkciu spojenú, hoci aj príležitostne, s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g);

i)	ochranu dotknutej osoby alebo práv a slobôd iných;

j)	vymáhanie občianskoprávnych nárokov.

2. Konkrétne musí každé legislatívne opatrenie uvedené v odseku 1 obsahovať osobitné ustanovenia, ktoré v relevantných prípadov upravujú aspoň:

a)	účely spracúvania alebo kategórie spracúvania;

b)	kategórie osobných údajov;

c)	rozsah zavedených obmedzení;

d)	záruky zabraňujúce zneužitiu údajov alebo nezákonnému prístupu či prenosu;

e)	určenie prevádzkovateľa alebo kategórií prevádzkovateľov;

f)	doby uchovávania a uplatniteľné záruky, pričom sa zohľadní povaha, rozsah a účely spracúvania alebo kategórie spracúvania;

g)	riziká pre práva a slobody dotknutých osôb a

h)	práva dotknutých osôb na informovanie o obmedzení, pokiaľ tým nie je ohrozený účel obmedzenia.

KAPITOLA IV

Prevádzkovateľ a sprostredkovateľ

Oddiel 1

Všeobecné povinnosti

Článok 28

Sprostredkovateľ

1. Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)	zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)	vykoná všetky požadované opatrenia podľa článku 32;

d)	dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)	po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)	pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)	po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)	poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6. Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7. Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8. Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9. Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10. Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 40

Kódexy správania

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)	spravodlivým a transparentným spracúvaním;

b)	oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)	získavaním osobných údajov;

d)	pseudonymizáciou osobných údajov;

e)	informovaním verejnosti a dotknutých osôb;

f)	uplatnením práv dotknutých osôb;

g)	informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)	opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)	oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)	prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)	mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 42

Certifikácia

1. Členské štáty, dozorné orgány, výbor a Komisia podporia, predovšetkým na úrovni Únie, zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov na účely preukázania súladu s týmto nariadením, pokiaľ ide o spracovateľské operácie vykonávané prevádzkovateľmi a sprostredkovateľmi. Zohľadnia sa osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, sa môžu stanoviť v oblasti ochrany údajov certifikačné mechanizmy, pečate alebo značky schválené podľa odseku 5 tohto článku s cieľom preukázať existenciu primeraných záruk zabezpečených prevádzkovateľmi alebo sprostredkovateľmi, na ktorých sa toto nariadenie podľa článku 3 nevzťahuje, v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. f). Takíto prevádzkovatelia alebo sprostredkovatelia môžu prijať záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

3. Certifikácia je dobrovoľná a dostupná prostredníctvom postupu, ktorý je transparentný.

4. Certifikáciou podľa tohto článku sa neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať toto nariadenie a nie sú ňou dotknuté úlohy a právomoci dozorných orgánov, ktoré sú príslušné podľa článku 55 alebo 56.

5. Certifikáciu podľa tohto článku vydajú certifikačné subjekty uvedené v článku 43 alebo príslušný dozorný orgán na základe kritérií schválených uvedeným príslušným dozorným orgánom podľa článku 58 ods. 3 alebo kritérií schválených výborom podľa článku 63. Ak kritériá schvaľuje výbor, môže to viesť k spoločnej certifikácii, európskej pečati ochrany údajov.

6. Prevádzkovateľ alebo sprostredkovateľ, ktorý predkladá svoje spracúvanie certifikačnému mechanizmu, poskytne certifikačnému subjektu uvedenému v článku 43 alebo v príslušnom prípade príslušnému dozornému orgánu všetky informácie a prístup k svojim spracovateľským činnostiam, ktoré sú potrebné na vykonanie certifikačného postupu.

7. Certifikácia sa prevádzkovateľovi alebo sprostredkovateľovi vydá na maximálne obdobie troch rokov a môže sa obnoviť za rovnakých podmienok, pokiaľ sa naďalej plnia príslušné požiadavky. Certifikačné subjekty uvedené v článku 43 alebo v príslušnom prípade príslušný dozorný orgán certifikáciu odoberú, ak nie sú alebo už nie sú splnené požiadavky na certifikáciu.

8. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate a značky ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 45

Prenosy na základe rozhodnutia o primeranosti

1. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie.

2. Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:

právny štát, dodržiavanie ľudských práv a základných slobôd, príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov, pravidiel ochrany údajov, profesijných pravidiel a bezpečnostných opatrení vrátane pravidiel pre následný prenos osobných údajov do ďalšej tretej krajiny alebo medzinárodnej organizácii, ktoré sa v danej tretej krajine alebo medzinárodnej organizácii dodržiavajú, judikatúra, ako aj účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú;

existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine, alebo ktorému podlieha medzinárodná organizácia, so zodpovednosťou za zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov vrátane primeraných právomocí pre presadzovanie práva, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi členských štátov; a

c)	medzinárodné záväzky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia prevzala, alebo iné záväzky vyplývajúce z právne záväzných dohovorov alebo nástrojov, ako aj z jej účasti na viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov.

3. Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Vo vykonávacom akte sa uvedie rozsah jeho územnej a sektorovej pôsobnosti a v príslušných prípadoch aj dozorný orgán alebo dozorné orgány uvedené v odseku 2 písm. b) tohto článku. Vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

4. Komisia priebežne monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť pôsobenie rozhodnutí prijatých podľa odseku 3 tohto článku a rozhodnutí prijatých na základe článku 25 ods. 6 smernice 95/46/ES.

5. Komisia na základe dostupných informácií, najmä v nadväznosti na preskúmanie uvedené v odseku 3 tohto článku, rozhodne, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku, v potrebnom rozsahu prostredníctvom vykonávacích aktov bez retroaktívneho účinku zruší, zmení alebo pozastaví rozhodnutie uvedené v odseku 3 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Komisia prijme z riadne odôvodnených vážnych a naliehavých dôvodov okamžite uplatniteľné vykonávacie akty v súlade s postupom uvedeným v článku 93 ods. 3.

6. Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav, ktorý viedol k rozhodnutiu prijatému podľa odseku 5.

7. Rozhodnutím podľa odseku 5 tohto článku nie sú dotknuté prenosy osobných údajov do tretej krajiny, územia alebo jedného či viacerých určených sektorov v danej tretej krajine alebo príslušnej medzinárodnej organizácii podľa článkov 46 až 49.

8. Komisia uverejnení v Úradnom vestníku Európskej únie a na svojom webovom sídle zoznam tretích krajín, území a určených sektorov v danej tretej krajine a medzinárodných organizácií, v prípade ktorých rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná úroveň ochrany zaručená.

9. Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 3 alebo 5 tohto článku.

Článok 46

Prenosy vyžadujúce primerané záruky

1. Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

a)	právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)	záväzných vnútropodnikových pravidiel v súlade s článkom 47;

c)	štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;

d)	štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán, a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2;

e)	schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

f)	schváleného certifikačného mechanizmu podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb.

3. S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)	zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, alebo

b)	ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4. Dozorný orgán uplatňuje mechanizmus konzistentnosti uvedený v článku 63 v prípadoch uvedených v odseku 3 tohto článku.

5. Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.

Článok 50

Medzinárodná spolupráca na účely ochrany osobných údajov

Vo vzťahu k tretím krajinám a medzinárodným organizáciám Komisia a dozorné orgány prijmú primerané opatrenia s cieľom:

a)	vytvoriť mechanizmy medzinárodnej spolupráce na uľahčenie účinného presadzovania právnych predpisov na ochranu osobných údajov;

poskytovať vzájomnú medzinárodnú pomoc pri presadzovaní právnych predpisov na ochranu osobných údajov, a to aj prostredníctvom podávania oznámení, postupovania sťažností, pomoci pri vyšetrovaní a výmeny informácií, pričom sa uplatnia primerané záruky ochrany osobných údajov a iných základných práv a slobôd;

c)	zapájať príslušné zainteresované strany do diskusie a činností zameraných na podporu medzinárodnej spolupráce pri presadzovaní právnych predpisov na ochranu osobných údajov;

d)	podporovať výmenu a dokumentáciu v oblasti právnych predpisov na ochranu osobných údajov a praxe v tejto oblasti, okrem iného v oblasti sporov o príslušnosť s tretími krajinami.

KAPITOLA VI

Nezávislé dozorné orgány

Oddiel 1

Nezávislé postavenie

Článok 54

Pravidlá zriadenia dozorného orgánu

1. Každý členský štát prostredníctvom právnych predpisov upraví všetky tieto skutočnosti:

a)	zriadenie každého dozorného orgánu;

b)	kvalifikáciu a požiadavky na kandidátov na miesto člena každého dozorného orgánu;

c)	pravidlá a postupy vymenovania člena alebo členov každého dozorného orgánu;

trvanie funkčného obdobia člena alebo členov každého dozorného orgánu, ktoré nesmie byť kratšie ako štyri roky, s výnimkou prvého vymenovania do funkcie po 24. máji 2016, ktoré môže byť kratšie, ak je z dôvodu ochrany nezávislosti dozorného orgánu nevyhnutné použiť časovo rozložený postup vymenovania do funkcií;

e)	či sú člen alebo členovia každého dozorného orgánu oprávnení na opätovné vymenovanie, a ak áno, na koľko funkčných období;

f)	podmienky upravujúce povinnosti člena alebo členov a personálu každého dozorného orgánu, zákazy týkajúce sa konaní, pracovnej činnosti a výhod nezlučiteľných s funkciou člena počas funkčného obdobia a po ňom a pravidlá upravujúce ukončenie pracovného pomeru.

2. Člen alebo členovia a personál každého dozorného orgánu podliehajú v súlade s právom Únie alebo právom členského štátu povinnosti zachovávať profesijné tajomstvo, pokiaľ ide o dôverné informácie, o ktorých sa dozvedeli pri plnení svojich úloh alebo pri výkone svojich právomocí, a to tak počas ich funkčného obdobia, ako aj po ňom. Počas ich funkčného obdobia sa táto povinnosť zachovávať profesijné tajomstvo vzťahuje najmä na ohlasovanie porušení tohto nariadenia fyzickými osobami.

Oddiel 2

Príslušnosť, úlohy a právomoci

Článok 58

Právomoci

1. Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

a)	nariadiť prevádzkovateľovi a sprostredkovateľovi a v príslušnom prípade zástupcovi prevádzkovateľa alebo sprostredkovateľa, aby poskytli všetky informácie, ktoré vyžaduje na plnenie svojich úloh;

b)	viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)	vykonávať preskúmania certifikácií vydaných podľa článku 42 ods. 7;

d)	oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

e)	získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

f)	získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu.

2. Každý dozorný orgán má všetky tieto nápravné právomoci:

a)	upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)	napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

e)	nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

f)	nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

g)	nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19;

h)	odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu vydanú podľa článkov 42 a 43, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu;

i)	uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

j)	nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

3. Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

a)	poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 36;

b)	vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti;

c)	povoliť spracúvanie uvedené v článku 36 ods. 5, ak právo členského štátu vyžaduje takéto predchádzajúce povolenie;

d)	vydávať stanoviská a schvaľovať návrhy kódexov správania podľa článku 40 ods. 5;

e)	akreditovať certifikačné subjekty podľa článku 43;

f)	vydávať certifikácie a schvaľovať kritériá certifikácie v súlade s článkom 42 ods. 5;

g)	prijímať štandardné doložky o ochrane údajov uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

h)	schvaľovať zmluvné doložky uvedené v článku 46 ods. 3 písm. a);

i)	schvaľovať administratívne dojednania uvedené v článku 46 ods. 3 písm. b);

j)	schvaľovať záväzné vnútropodnikové pravidlá podľa článku 47.

4. Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

5. Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6. Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.

Článok 61

Vzájomná pomoc

1. Dozorné orgány si navzájom poskytujú relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania tohto nariadenia a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o predchádzajúce povolenie a konzultácie, kontroly a vyšetrovania.

2. Každý dozorný orgán prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantných informácií o vedení vyšetrovania.

3. Žiadosti o pomoc obsahujú všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú len na účel, na ktorý boli vyžiadané.

4. Dožiadaný dozorný orgán nesmie odmietnuť vyhovieť žiadosti s výnimkou prípadu, keď:

a)	nie je príslušný pre predmet žiadosti alebo pre opatrenia, o vykonanie ktorých bol požiadaný, alebo

b)	vyhovenie žiadosti by bolo v rozpore s týmto nariadením alebo s právom Únie alebo s právom členského štátu, ktorému podlieha dozorný orgán, ktorému bola žiadosť doručená.

5. Dožiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom reagovať na žiadosť alebo prípadne o pokroku dosiahnutom v tejto súvislosti. Dožiadaný dozorný orgán v prípade odmietnutia žiadosti podľa odseku 4 toto odmietnutie odôvodní.

6. Dožiadané dozorné orgány poskytnú informácie požadované inými dozornými orgánmi spravidla elektronickými prostriedkami, pričom používajú štandardizovaný formát.

7. Dožiadané dozorné orgány neúčtujú za opatrenie, ktoré vykonali na základe žiadosti o vzájomnú pomoc, žiadny poplatok. Dozorné orgány sa môžu dohodnúť na pravidlách vzájomnej náhrady v prípade špecifických výdavkov, ktoré vyplývajú z poskytnutia vzájomnej pomoci za výnimočných okolností.

8. Ak dozorný orgán neposkytne informácie uvedené v odseku 5 tohto článku do jedného mesiaca od doručenia žiadosti od iného dozorného orgánu, žiadajúci dozorný orgán môže prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55 ods. 1. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

9. Komisia môže prostredníctvom vykonávacích aktov spresniť formát a postupy pre vzájomnú pomoc uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a výborom, najmä štandardizovaný formát uvedený v odseku 6 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 63

Mechanizmus konzistentnosti

S cieľom prispievať ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii dozorné orgány spolupracujú navzájom a v relevantných prípadoch s Komisiou prostredníctvom mechanizmu konzistentnosti, ako sa stanovuje v tomto oddiele.

Článok 70

Úlohy výboru

1. Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)	monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)	poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)	poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)	vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)	preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)	vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)	preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)	nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)	vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)	spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)	poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)	poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)	vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)	podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)	podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)	podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)	poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)	vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2. Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3. Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4. Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

Článok 88

Spracúvanie v súvislosti so zamestnaním

1. Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2. Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.

3. Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

whereas

(22) Každé spracúvanie osobných údajov v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii by sa malo vykonávať v súlade s týmto nariadením bez ohľadu na to, či sa samotné spracúvanie uskutočňuje v Únii.
Prevádzkareň znamená efektívny a skutočný výkon činnosti prostredníctvom stálych dojednaní.
Právna forma takýchto dojednaní, či už ide o pobočku alebo dcérsku spoločnosť s právnou subjektivitou, nie je v tomto ohľade určujúcim faktorom.

- = -

(32) Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením.
Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.
Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas.
Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely.
Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely.
Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.

- = -

(36) Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho centrálnej správy v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, pričom v takom prípade by sa za hlavnú prevádzkareň mala považovať táto iná prevádzkareň.
Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť podľa objektívnych kritérií a mala by zahŕňať efektívne a skutočné vykonávanie riadiacich činností, pri ktorých sa prijímajú hlavné rozhodnutia týkajúce sa účelu a prostriedkov spracúvania prostredníctvom stálych dojednaní.
Uvedené kritérium by nemalo byť závislé od toho, či sa spracúvanie osobných údajov vykonáva na tomto mieste.
Prítomnosť a použitie technických prostriedkov a technológií spracúvania osobných údajov alebo spracovateľských činností nepredstavujú sami osebe hlavnú prevádzkáreň, a preto nie sú určujúcimi kritériami pre hlavnú prevádzkareň.
Hlavnou prevádzkarňou sprostredkovateľa by malo byť miesto jeho centrálnej správy v Únii alebo ak v Únii nemá centrálnu správu, tak miesto, kde sa uskutočňujú hlavné spracovateľské činnosti v Únii.
V prípadoch týkajúcich sa tak prevádzkovateľa, ako aj sprostredkovateľa by mal príslušným vedúcim dozorným orgánom zostať dozorný orgán členského štátu, v ktorom má prevádzkovateľ svoju hlavnú prevádzkareň, ale dozorný orgán sprostredkovateľa by sa mal považovať za dotknutý dozorný orgán a uvedený dozorný orgán by sa mal zúčastňovať na postupe spolupráce stanovenom v tomto nariadení.
V každom prípade dozorné orgány členského štátu alebo členských štátov, v ktorých má sprostredkovateľ jednu alebo viac prevádzkarní, by sa nemali považovať za dotknuté dozorné orgány, ak sa návrh rozhodnutia týka len prevádzkovateľa.
Ak spracúvanie vykonáva skupina podnikov, hlavná prevádzkareň riadiaceho podniku by sa mala považovať za hlavnú prevádzkareň skupiny podnikov okrem prípadu, keď o účeloch a prostriedkoch spracúvania rozhoduje iný podnik.

- = -

(49) Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t.
j.
schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov, a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov orgánmi verejnej moci, jednotkami reakcie na núdzové počítačové situácie (CERT), jednotkami pre riešenie počítačových incidentov (CSIRT), poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov.
Mohlo by to napríklad zahŕňať zabránenie neoprávnenému prístupu k elektronickým komunikačným sieťam a šíreniu škodlivých programových kódov, ako aj zastavenie útokov sledujúcich cielené preťaženie serverov („denial of service“) a poškodzovanie počítačových a elektronických komunikačných systémov.

- = -

(57) Ak osobné údaje, ktoré spracúva prevádzkovateľ, nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.
Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv.
Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad použitím rovnakých prihlasovacích údajov, ktoré dotknutá osoba použila na prihlásenie do online služby poskytovanej prevádzkovateľom.

- = -

(58) Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné.
Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla.
Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely.
Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, by mali byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.

- = -

(77) Usmernenie na vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika by mohlo byť poskytnuté najmä prostredníctvom schválených kódexov správania, schválenej certifikácie, usmernení vypracovaných výborom alebo pokynov poskytnutých zodpovednou osobou.
Výbor môže vydať aj usmernenia pre spracovateľské operácie, v súvislosti s ktorými sa nepovažuje za pravdepodobné, že by viedli k vysokému riziku pre práva a slobody fyzických osôb, a uviesť, aké opatrenia môžu byť v takýchto prípadoch na vyriešenie takého rizika dostatočné.

- = -

(108) Pri absencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu.
Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom.
Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.
Mali by sa týkať predovšetkým súladu so všeobecnými zásadami spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov.
Prenosy môžu vykonávať aj orgány verejnej moci alebo verejnoprávne subjekty s orgánmi verejnej moci alebo verejnoprávnymi subjektmi v tretích krajinách alebo s medzinárodnými organizáciami s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb.
Povolenie príslušného dozorného orgánu by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné.

- = -

(109) Možnosť pre prevádzkovateľa alebo sprostredkovateľa uplatniť štandardné doložky o ochrane údajov prijaté Komisiou alebo dozorným orgánom by prevádzkovateľom ani sprostredkovateľom nemali brániť v tom, aby zahrnuli štandardné doložky o ochrane údajov do širšej zmluvy, ako napríklad zmluvy medzi sprostredkovateľom a ďalším sprostredkovateľom, alebo k nim pridali ďalšie doložky alebo dodatočné záruky, pokiaľ nie sú priamo alebo nepriamo v rozpore so štandardnými zmluvnými doložkami prijatými Komisiou alebo dozorným orgánom alebo pokiaľ sa nedotýkajú základných práv alebo slobôd dotknutých osôb.
Prevádzkovatelia a sprostredkovatelia by sa mali nabádať, aby poskytovali dodatočné záruky prostredníctvom zmluvných záväzkov, ktoré doplnia štandardné ochranné doložky.

- = -

(157) Spojením informácií z registrov môžu výskumní pracovníci získať veľmi hodnotné nové znalosti, pokiaľ ide o celkový zdravotný stav, ako sú srdcovo-cievne ochorenia, rakovina a depresia.
Na základe registrov sa hodnota výsledkov výskumu môže zvýšiť, pretože vychádzajú z väčšieho počtu obyvateľov.
V spoločenskej vede umožňuje výskum na základe registrov výskumným pracovníkom získavať kľúčové znalosti o dlhodobej vzájomnej súvislosti medzi niektorými sociálnymi podmienkami, napríklad nezamestnanosťou a vzdelaním a inými životnými podmienkami.
Výsledky výskumu získané prostredníctvom registrov poskytujú spoľahlivé, vysokokvalitné znalosti, ktoré môžu byť základom pre formuláciu a vykonávanie znalostnej politiky, zlepšiť kvalitu života mnohých ľudí a zvýšiť účinnosť sociálnych služieb.
V záujme uľahčenia vedeckého výskumu možno osobné údaje spracúvať na účely vedeckého výskumu za predpokladu primeraných podmienok a záruk stanovených v práve Únie alebo v práve členského štátu.

- = -

(164) Pokiaľ ide o právomoc dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do ich prevádzkových priestorov, členské štáty môžu prijať prostredníctvom právnych predpisov a v medziach tohto nariadenia osobitné pravidlá s cieľom zaručiť plnenie povinností týkajúcich sa profesijného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať profesijné tajomstvo.
Týmto nie sú dotknuté existujúce povinnosti členských štátov, pokiaľ ide o prijatie noriem o profesijnom tajomstve v prípadoch, v ktorých sa to požaduje v práve Únie.

- = -

dal 2004 diritto e informatica