interactive GDPR 2016/0679 SK

1. Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

3. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 5

Zásady spracúvania osobných údajov

1. Osobné údaje musia byť:

a)	spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)	primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)	správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“);

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“);

f)	spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 6

Zákonnosť spracúvania

1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a)	dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

b)	spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)	spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)	spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)	spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)	spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

a)	v práve Únie alebo

b)	v práve členského štátu vzťahujúcom sa na prevádzkovateľa.

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4. Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)	akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)	okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)	povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)	možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)	existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 7

Podmienky vyjadrenia súhlasu

1. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

2. Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.

3. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

4. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Článok 9

Spracúvanie osobitných kategórií osobných údajov

1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)	spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;

e)	spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)	spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;

spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;

spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3. Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

4. Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.

Článok 13

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)	doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

b)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

c)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)	právo podať sťažnosť dozornému orgánu;

e)	informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;

f)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.

4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.

Článok 14

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	kategórie dotknutých osobných údajov;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)	doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

b)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

c)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

d)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

e)	právo podať sťažnosť dozornému orgánu;

f)	z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

g)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)	v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)	ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

c)	ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

a)	dotknutá osoba má už dané informácie;

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti;

c)	sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo

d)	v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

Článok 22

Automatizované individuálne rozhodovanie vrátane profilovania

1. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.

2. Odsek 1 sa neuplatňuje, ak je rozhodnutie:

a)	nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,

b)	povolené právom Únie alebo právom členského štátu, ktorému prevádzkovateľ podlieha a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, alebo

c)	založené na výslovnom súhlase dotknutej osoby.

3. V prípadoch uvedených v odseku 2 písm. a) a c) prevádzkovateľ vykoná vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby, a to aspoň práva na ľudský zásah zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.

4. Rozhodnutia uvedené v odseku 2 sa nezakladajú na osobitných kategóriách osobných údajov uvedených v článku 9 ods. 1, pokiaľ sa neuplatňuje článok 9 ods. 2 písm. a) alebo g) a nie sú zavedené vhodné opatrenia na zaručenie práv a slobôd a oprávnených záujmov dotknutej osoby.

Oddiel 5

Obmedzenia

Článok 28

Sprostredkovateľ

1. Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)	zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)	vykoná všetky požadované opatrenia podľa článku 32;

d)	dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)	po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)	pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)	po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)	poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6. Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7. Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8. Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9. Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10. Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 36

Predchádzajúca konzultácia

1. Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

2. Ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým dozorný orgán nezíska informácie, o ktoré požiadal na účely konzultácie.

3. Pri konzultácii dozorného orgánu podľa odseku 1 poskytne prevádzkovateľ dozornému orgánu:

a)	v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania, najmä v prípade spracúvania v rámci skupiny podnikov;

b)	informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)	informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)	v príslušných prípadoch kontaktné údaje zodpovednej osoby;

e)	posúdenie vplyvu na ochranu údajov stanovené v článku 35 a

f)	akékoľvek ďalšie informácie, o ktoré dozorný orgán požiada.

4. Členské štáty uskutočňujú s dozorným orgánom konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

5. Bez ohľadu na odsek 1 sa na základe práva členského štátu môže od prevádzkovateľov vyžadovať, aby uskutočnili s dozorným orgánom konzultácie a získali od neho predchádzajúce povolenie v súvislosti so spracúvaním vykonávaným prevádzkovateľom na plnenie úlohy prevádzkovateľa vo verejnom záujme vrátane spracúvania v súvislosti so sociálnym zabezpečením a verejným zdravím.

Oddiel 4

Zodpovedná osoba

Článok 40

Kódexy správania

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

a)	spravodlivým a transparentným spracúvaním;

b)	oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

c)	získavaním osobných údajov;

d)	pseudonymizáciou osobných údajov;

e)	informovaním verejnosti a dotknutých osôb;

f)	uplatnením práv dotknutých osôb;

g)	informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

h)	opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

i)	oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

j)	prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

k)	mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 47

Záväzné vnútropodnikové pravidlá

1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)	sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)	sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)	spĺňajú požiadavky stanovené v odseku 2.

2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)	štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)	prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)	ich právna záväznosť, a to vnútorne a navonok;

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)	spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)	postupy týkajúce sa sťažností;

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)	mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)	mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)	primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 51

Dozorný orgán

1. Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len „dozorný orgán“).

2. Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s Komisiou v súlade s kapitolou VII.

3. Ak je v členskom štáte zriadený viac než jeden dozorný orgán, tento členský štát určí dozorný orgán, ktorý má zastupovať uvedené orgány vo výbore, a stanoví mechanizmus na zabezpečenie súladu zo strany ostatných orgánov s pravidlami týkajúcimi sa mechanizmu konzistentnosti uvedeného v článku 63.

4. Každý členský štát oznámi Komisii ustanovenia svojho práva, ktoré prijme podľa tejto kapitoly, do 25. mája 2018 a bezodkladne oznámi všetky následné zmeny, ktoré sa týkajú týchto ustanovení.

Článok 56

Príslušnosť hlavného dozorného orgánu

1. Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60.

2. Odchylne od odseku 1 je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením tohto nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte.

3. V prípadoch uvedených v odseku 2 tohto článku dozorný orgán o tejto otázke bezodkladne informuje vedúci dozorný orgán. Vedúci dozorný orgán rozhodne v lehote troch týždňov odvtedy, ako bol informovaný, či sa bude alebo nebude prípadom zaoberať v súlade s postupom stanoveným v článku 60, pričom zohľadní, či prevádzkovateľ alebo sprostredkovateľ má alebo nemá prevádzkareň v členskom štáte dozorného orgánu, ktorý ho informoval.

4. Ak vedúci dozorný orgán rozhodne, že sa prípadom bude zaoberať, uplatňuje sa postup stanovený v článku 60. Dozorný orgán, ktorý informoval vedúci dozorný orgán, môže vedúcemu dozornému orgánu predložiť návrh rozhodnutia. Vedúci dozorný orgán uvedený návrh rozhodnutia v čo najväčšej miere zohľadní pri vypracúvaní návrhu rozhodnutia uvedeného v článku 60 ods. 3.

5. Ak vedúci dozorný orgán rozhodne, že sa prípadom nebude zaoberať, v súlade s článkami 61 a 62 sa prípadom bude zaoberať dozorný orgán, ktorý informoval vedúci dozorný orgán.

6. Vedúci dozorný orgán je jediným partnerom prevádzkovateľa alebo sprostredkovateľa v súvislosti s cezhraničným spracúvaním vykonávaným týmto prevádzkovateľom alebo sprostredkovateľom.

Článok 57

Úlohy

1. Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

a)	monitoruje a presadzuje uplatňovanie tohto nariadenia;

b)	zvyšuje povedomie verejnosti a jej chápanie rizík, pravidiel, záruk a práv súvisiacich so spracúvaním. Osobitná pozornosť sa venuje činnostiam špecificky zameraným na deti;

c)	poskytuje v súlade s právom členského štátu poradenstvo národnému parlamentu, vláde a iným inštitúciám a orgánom o legislatívnych a administratívnych opatreniach súvisiacich s ochranou práv a slobôd fyzických osôb pri spracúvaní;

d)	zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto nariadenia;

e)	na požiadanie poskytuje informácie každej dotknutej osobe v súvislosti s uplatnením jej práv podľa tohto nariadenia a prípadne na tento účel spolupracuje s dozornými orgánmi v iných členských štátoch;

vybavuje sťažnosti podané dotknutou osobou alebo subjektom, organizáciou alebo združením v súlade s článkom 80, a vyšetruje v primeranom rozsahu podstatu sťažnosti a informuje sťažovateľa o pokroku a výsledkoch vyšetrovania v primeranej lehote, najmä ak je potrebné ďalšie vyšetrovanie alebo koordinácia s iným dozorným orgánom;

g)	spolupracuje s inými dozornými orgánmi, vrátane výmeny informácií, a poskytuje im vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia;

h)	vedie vyšetrovania týkajúce sa uplatňovania tohto nariadenia, a to aj na základe informácií, ktoré mu poskytol iný dozorný orgán alebo iný orgán verejnej moci;

i)	monitoruje príslušný vývoj, pokiaľ má dosah na ochranu osobných údajov, a to najmä vývoj informačných a komunikačných technológií a obchodných praktík;

j)	prijíma štandardné zmluvné doložky uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

k)	zostavuje a vedie zoznam v súvislosti s požiadavkou na posúdenie vplyvu na ochranu údajov podľa článku 35 ods. 4;

l)	poskytuje poradenstvo v súvislosti so spracovateľskými operáciami uvedenými v článku 36 ods. 2;

m)	nabáda k vypracovaniu kódexov správania podľa článku 40 ods. 1 a vydáva stanovisko k takýmto kódexom správania a schvaľuje ich, ak poskytujú dostatočné záruky, podľa článku 40 ods. 5;

n)	podporuje vytvorenie mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článku 42 ods. 1 a schvaľuje kritériá certifikácie podľa článku 42 ods. 5;

o)	ak je to vhodné, uskutočňuje pravidelné preskúmanie certifikácií vydaných v súlade s článkom 42 ods. 7;

p)	navrhuje a zverejňuje kritériá akreditácie subjektu na monitorovanie kódexov správania podľa článku 41 a certifikačného subjektu podľa článku 43;

q)	vykonáva akreditáciu subjektu na monitorovanie kódexov správania podľa článku 41 a certifikačného subjektu podľa článku 43;

r)	povoľuje zmluvné doložky a ustanovenia uvedené v článku 46 ods. 3;

s)	schvaľuje záväzné vnútropodnikové pravidlá podľa článku 47;

t)	prispieva k činnostiam výboru;

u)	vedie interné záznamy o porušeniach tohto nariadenia a o opatreniach prijatých v súlade s článkom 58 ods. 2 a

v)	plní akékoľvek iné úlohy súvisiace s ochranou osobných údajov.

2. Každý dozorný orgán uľahčuje podávanie sťažností uvedených v odseku 1 písm. f), a to takými opatreniami, ako napríklad poskytnutím formulára sťažnosti, ktorý je možné tiež vyplniť elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

3. Plnenie úloh každého dozorného orgánu je pre dotknutú osobu a v príslušných prípadoch zodpovednú osobu bezplatné.

4. Ak sú žiadosti zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, dozorný orgán môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti. Dozorný orgán znáša bremeno preukázania, že žiadosť je zjavne neopodstatnená alebo neprimeraná.

Článok 71

Správy

1. Výbor vypracúva výročnú správu o ochrane fyzických osôb pri spracúvaní v Únii a v relevantných prípadoch aj v tretích krajinách a medzinárodných organizáciách. Správa sa zverejní a zašle Európskemu parlamentu, Rade a Komisii.

2. Výročná správa obsahuje preskúmanie praktického uplatňovania usmernení, odporúčaní a najlepších postupov uvedených v článku 70 ods. 1 písm. l), ako aj záväzných rozhodnutí uvedených v článku 65.

Článok 82

Právo na náhradu škody a zodpovednosť

1. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2. Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3. Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

4. Ak sa na tom istom spracúvaní zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním, každý z nich zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada.

5. Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 zaplatil náhradu spôsobenej škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok stanovených v odseku 2.

6. Návrhy na začatie súdnych konaní na účely uplatnenia práva na náhradu škody sa podávajú na súdy príslušné podľa práva členského štátu uvedeného v článku 79 ods. 2.

Článok 88

Spracúvanie v súvislosti so zamestnaním

1. Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2. Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.

3. Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

Článok 89

Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

1. Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.

2. Keď sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, v práve Únie alebo v práve členského štátu sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

3. Keď sa osobné údaje spracúvajú na účely archivácie vo verejnom záujme, v práve Únie alebo vo vnútroštátnom práve sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18, 19, 20 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

4. Ak spracúvanie uvedené v odsekoch 2 a 3 slúži súčasne aj na iný účel, odchýlky sa vzťahujú iba na spracúvanie na účely uvedené v uvedených odsekov.

Článok 91

Existujúce pravidlá ochrany údajov cirkví a náboženských združení

1. Ak v čase nadobudnutia účinnosti tohto nariadenia cirkvi a náboženské združenia alebo komunity v niektorom členskom štáte uplatňujú komplexné pravidlá ochrany fyzických osôb pri spracúvaní, tieto pravidlá možno aj naďalej uplatňovať pod podmienkou, že sa zosúladia s týmto nariadením.

2. Cirkvi a náboženské združenia, ktoré uplatňujú komplexné pravidlá v súlade s odsekom 1 tohto článku, podliehajú dohľadu zo strany nezávislého dozorného orgánu, ktorý môže mať osobitnú povahu, pokiaľ spĺňa podmienky stanovené v kapitole VI tohto nariadenia.

KAPITOLA X

Delegované akty a vykonávacie akty

Článok 98

Preskúmanie iných právnych aktov Únie týkajúcich sa ochrany údajov

Komisia podľa potreby predloží legislatívne návrhy s cieľom zmeniť iné právne akty Únie týkajúce sa ochrany osobných údajov, aby sa zaistila jednotná a konzistentná ochrana fyzických osôb pri spracúvaní. To sa týka najmä pravidiel ochrany fyzických osôb pri spracúvaní inštitúciami, orgánmi, úradmi a agentúrami Únie a voľného pohybu takýchto údajov.

Článok 99

Nadobudnutie účinnosti a uplatňovanie

1. Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2. Uplatňuje sa od 25.mája 2018.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 27. apríla 2016

Za Európsky parlament

predseda

M. SCHULZ

Za Radu

predsedníčka

J.A. HENNIS-PLASSCHAERT

(1) Ú. v. EÚ C 229, 31.7.2012, s. 90.

(2) Ú. v. EÚ C 391, 18.12.2012, s. 127.

(3) Pozícia Európskeho parlamentu z 12. marca 2014 (zatiaľ neuverejnená v úradnom vestníku) a pozícia Rady v prvom čítaní z 8. apríla 2016 (zatiaľ neuverejnená v úradnom vestníku). Pozícia Európskeho parlamentu zo 14. apríla 2016.

(4) Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

(5) Odporúčanie Komisie zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov (C(2003) 1422) (Ú. v. EÚ L 124, 20.5.2003, s. 36).

(6) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(7) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (pozri stranu 89 tohto úradného vestníka).

(8) Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 17.7.2000, s. 1).

(9) Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(10) Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 21.4.1993, s. 29).

(11) Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci (Ú. v. EÚ L 354, 31.12.2008, s. 70).

(12) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(13) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1215/2012 z 12. decembra 2012 o právomoci a o uznávaní a výkone rozsudkov v občianskych a obchodných veciach (Ú. v. EÚ L 351, 20.12.2012, s. 1).

(14) Smernica Európskeho parlamentu a Rady 2003/98/ES zo 17. novembra 2003 o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 345, 31.12.2003, s. 90).

(15) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 536/2014 zo 16. apríla 2014 o klinickom skúšaní liekov na humánne použitie, ktorým sa zrušuje smernica 2001/20/ES (Ú. v. EÚ L 158, 27.5.2014, s. 1).

(16) Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31.3.2009, s. 164).

(17) Ú. v. EÚ C 192, 30.6.2012, s. 7.

(18) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(19) Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1).

(20) Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).

(21) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).

whereas

(1) Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva.
V článku 8 ods. 1 Charty základných práv Európskej únie (ďalej len „Charta“) a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

- = -

(2) V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov.
Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.

- = -

(9) Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí.
Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii.
Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie.
Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.

- = -

(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch.
Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie.
Pokiaľ ide o spracúvanie osobných údajov na účely dodržania zákonnej povinnosti, plnenia úloh realizovaných vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, členské štáty by mali mať možnosť zachovať alebo zaviesť vnútroštátne predpisy, ktorými by sa spresnilo uplatňovanie pravidiel stanovených v tomto nariadení.
Spolu so všeobecnými a horizontálnymi právnymi predpismi o ochrane údajov, ktorými sa vykonáva smernica 95/46/ES, prijali členské štáty viaceré sektorové právne predpisy v oblastiach, v ktorých sú potrebné špecifickejšie normy.
Týmto nariadením sa tiež členským štátom dáva priestor na spresnenie svojich pravidiel vrátane pravidiel spracúvania osobitných kategórií osobných údajov (ďalej len „citlivé údaje“).
V danom rozsahu toto nariadenie nevylučuje právo členského štátu, ktorým sa vymedzujú okolnosti špecifických spracovateľských situácií vrátane presnejšieho stanovenia podmienok, za ktorých je spracúvanie osobných údajov v súlade so zákonom.

- = -

(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.

- = -

(12) V článku 16 ods. 2 ZFEÚ sa Európsky parlament a Rada poverujú, aby stanovili pravidlá týkajúce sa ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

- = -

(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov.
Riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.
S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov toto nariadenie obsahuje výnimku pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov.
Okrem toho sa inštitúcie a orgány Únie a členské štáty a ich dozorné orgány nabádajú k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov.
Pokiaľ ide o vymedzenie pojmu mikropodniky a malé a stredné podniky, malo by sa vychádzať z článku 2 prílohy k odporúčaniu Komisie 2003/361/ES (5).

- = -

(19) Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo jeho predchádzania a voľný pohyb takýchto údajov podlieha osobitnému právnemu aktu Únie.
Toto nariadenie by sa preto nemalo vzťahovať na spracovateľské činnosti na takéto účely.
Ak sa však osobné údaje spracúvané orgánmi verejnej moci podľa tohto nariadenia používajú na uvedené účely, mal by sa na ne vzťahovať špecifickejší právny akt Únie, a to smernica Európskeho parlamentu a Rady (EÚ) 2016/680 (7). Členské štáty môžu poveriť príslušné orgány v zmysle smernice (EÚ) 2016/680 úlohami, ktoré nie sú nevyhnutne vykonávané na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, pokiaľ patria do pôsobnosti práva Únie, patrí do pôsobnosti tohto nariadenia.

- = -

(29) V záujme vytvorenia stimulov na používanie pseudonymizácie pri spracúvaní osobných údajov by sa mali pri súčasnom umožnení všeobecnej analýzy umožniť opatrenia na pseudonymizáciu v rámci toho istého prevádzkovateľa v prípade, že daný prevádzkovateľ prijal technické a organizačné opatrenia potrebné na zabezpečenie vykonania tohto nariadenia vo vzťahu k danému spracúvaniu, a na zabezpečenie toho, že sa dodatočné informácie na priradenie osobných údajov konkrétnej dotknutej osobe uchovávajú oddelene.
Prevádzkovateľ, ktorý spracúva osobné údaje, by mal určiť oprávnené osoby v rámci toho istého prevádzkovateľa.

- = -

(32) Súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad písomným vyhlásením vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením.
Mohlo by to zahŕňať označenie políčka pri návšteve internetového webového sídla, zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či úkon, ktorý v tomto kontexte jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.
Mlčanie, vopred označené políčka alebo nečinnosť by sa preto nemali pokladať za súhlas.
Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely.
Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely.
Ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje.

- = -

(38) Osobitnú ochranu osobných údajov si zasluhujú deti, keďže si môžu byť v menšej miere vedomé rizík, dôsledkov a dotknutých záruk a svojich práv súvisiacich so spracúvaním osobných údajov.
Takáto osobitná ochrana by sa mala vzťahovať najmä na využívanie osobných údajov detí na účely marketingu alebo vytvorenia osobného alebo používateľského profilu a získavanie osobných údajov o deťoch pri používaní služieb poskytovaných priamo dieťaťu.
Súhlas nositeľa rodičovských práv a povinností by nemal byť potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu.

- = -

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé.
Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať.
Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah.
Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.
Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

- = -

(42) Ak je spracúvanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním.
Najmä v kontexte písomného vyhlásenia v inej záležitosti by záruky mali zabezpečovať, že dotknutá osoba si je vedomá, že dáva súhlas a v akom rozsahu ho udeľuje.
V súlade so smernicou Rady 93/13/EHS (10) by vyjadrenie súhlasu, ktoré vopred naformuloval prevádzkovateľ, malo byť v zrozumiteľnej a ľahko dostupnej forme a formulované jasne a jednoducho a nemalo by obsahovať nekalé podmienky.
Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba by si mala byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov.
Súhlas by sa nemal považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov.

- = -

(61) Informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote v závislosti od okolností prípadu.
Ak možno osobné údaje legitímne poskytnúť inému príjemcovi, dotknutá osoba by mala byť informovaná o tom, kedy boli osobné údaje prvýkrát poskytnuté tomuto príjemcovi.
Ak má prevádzkovateľ v úmysle spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, mal by dotknutej osobe pred takýmto ďalším spracúvaním poskytnúť informácie o tomto inom účele a ďalšie potrebné informácie.
Ak sa z dôvodu použitia viacerých zdrojov nemohol dotknutej osobe poskytnúť pôvod osobných údajov, mala by sa poskytnúť všeobecná informácia.

- = -

(63) Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť.
K tomu patrí aj právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom v ich lekárskych záznamoch obsahujúcich informácie ako diagnóza, výsledky vyšetrení, posudky ošetrujúcich lekárov a akákoľvek poskytnutá terapia alebo uskutočnené zákroky.
Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania.
Ak je to možné, prevádzkovateľ by mal môcť poskytnúť prístup na diaľku k bezpečnému systému, ktorý by dotknutej osobe zabezpečil priamy prístup k jej osobným údajom.
Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru.
Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe.
Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo informácií, mal by môcť požadovať, aby pred doručením informácií dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa žiadosť týka.

- = -

(65) Dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo na zabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie či právo členského štátu vzťahujúce sa na prevádzkovateľa.
Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov.
Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu.
Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné v prípadoch, keď je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

- = -

(71) Dotknutá osoba by mala mať právo nepodliehať rozhodnutiu, ktoré môže zahŕňať opatrenie, hodnotiacemu osobné aspekty, ktoré sa jej týkajú, založenému výlučne na automatizovanom spracúvaní a ktoré má právne účinky, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú, ako je napríklad automatické zamietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek ľudského zásahu.
Takéto spracúvanie zahŕňa „profilovanie“ pozostávajúce z akejkoľvek formy automatizovaného spracúvania osobných údajov spočívajúceho v hodnotení osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým na analýzu alebo predvídanie aspektov súvisiacich s výkonnosťou dotknutej osoby v práci, jej majetkovými pomermi, zdravím, osobnými preferenciami alebo záujmami, spoľahlivosťou alebo správaním, polohou alebo pohybom, pokiaľ vedie k právnym účinkom, ktoré sa dotknutej osoby týkajú alebo ju podobným spôsobom významne ovplyvňujú.
Rozhodovanie založené na takomto spracúvaní vrátane profilovania by sa však malo umožniť, ak je výslovne povolené právom Únie alebo právom členského štátu, ktoré sa vzťahuje na prevádzkovateľa, a to aj na účely monitorovania podvodov a daňových únikov a ich predchádzania, ktoré sa uskutočňuje v súlade s právnym predpismi, normami a odporúčaniami inštitúcií Únie alebo vnútroštátnych orgánov dozoru, a na zaistenie bezpečnosti a spoľahlivosti služby poskytovanej zo strany prevádzkovateľa, alebo ak je nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom, alebo ak dotknutá osoba dala svoj výslovný súhlas.
V každom prípade by takéto spracúvanie malo podliehať vhodným zárukám, ktoré by mali zahŕňať určité informácie pre dotknutú osobu a právo na ľudský zásah, vyjadriť svoj názor, dostať vysvetlenie rozhodnutia, ktoré bolo prijaté po takomto posúdení, a napadnúť rozhodnutie.
Takéto opatrenie by sa memalo týkať dieťaťa.

- = -

(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene.
Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení.
V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.

- = -

(77) Usmernenie na vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika by mohlo byť poskytnuté najmä prostredníctvom schválených kódexov správania, schválenej certifikácie, usmernení vypracovaných výborom alebo pokynov poskytnutých zodpovednou osobou.
Výbor môže vydať aj usmernenia pre spracovateľské operácie, v súvislosti s ktorými sa nepovažuje za pravdepodobné, že by viedli k vysokému riziku pre práva a slobody fyzických osôb, a uviesť, aké opatrenia môžu byť v takýchto prípadoch na vyriešenie takého rizika dostatočné.

- = -

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky.
Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov.
Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

- = -

(81) S cieľom zabezpečiť súlad s požiadavkami tohto nariadenia v súvislosti so spracúvaním, ktoré má v mene prevádzkovateľa vykonať sprostredkovateľ, by mal prevádzkovateľ pri poverovaní sprostredkovateľa spracovateľskými činnosťami využívať len takých sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto nariadenia, vrátane požiadavky na bezpečnosť spracúvania.
Dodržiavanie schváleného kódexu správania alebo schváleného certifikačného mechanizmu sprostredkovateľom sa môže použiť ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa.
Vykonávanie spracúvania sprostredkovateľom by sa malo riadiť zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktorými by bol sprostredkovateľ viazaný voči prevádzkovateľovi a v ktorých by sa stanovil predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb, a ktoré by mali zohľadniť osobitné úlohy a povinnosti sprostredkovateľa v kontexte spracúvania, ktoré sa má vykonať, a riziko pre práva a slobody dotknutých osôb.
Prevádzkovateľ a sprostredkovateľ si môžu vybrať použitie individuálnej zmluvy alebo štandardných zmluvných doložiek, ktoré prijme buď priamo Komisia, alebo ktoré prijme dozorný orgán v súlade s mechanizmom konzistentnosti a následne ich prijme Komisia.
Po ukončení spracúvania v mene prevádzkovateľa by mal sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa práva Únie alebo práva členského štátu, ktorému sprostredkovateľ podlieha, neexistuje požiadavka na uchovanie osobných údajov.

- = -

(83) S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie.
Týmito opatreniami by sa mala zaistiť primeraná úroveň bezpečnosti vrátane dôvernosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť.
Pri posudzovaní rizika v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme.

- = -

(84) S cieľom posilniť súlad s týmto nariadením, ak je pravdepodobné, že spracovateľské operácie povedú k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ by mal byť zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom zhodnotiť najmä pôvod, povahu, osobitosť a závažnosť tohto rizika.
Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s týmto nariadením.
Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom.

- = -

(90) V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika.
Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

- = -

(94) Ak z posúdenia vplyvu na ochranu údajov vyplýva, že spracúvanie by v prípade neexistencie záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika viedlo k vysokému riziku pre práva a slobody fyzických osôb, a prevádzkovateľ sa domnieva, že riziko sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení, dozorný orgán by sa mal konzultovať ešte pred začiatkom spracovateľskej činnosti.
Takéto vysoké riziko pravdepodobne vyplýva z určitého typu spracúvania a rozsahu a frekvencie spracúvania, v dôsledku ktorých môže tiež vzniknúť škoda alebo zásah do práv a slobôd fyzickej osoby.
Dozorný orgán by mal odpovedať na žiadosť o konzultáciu v stanovenej lehote.
Ak však dozorný orgán v rámci tejto lehoty nezareaguje, nie je tým dotknutý žiadny zásah dozorného orgánu v súlade s jeho úlohami a právomocami ustanovenými v tomto nariadení vrátane práva zakázať spracovateľské operácie.
Súčasťou tohto konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov, ktoré sa vykonalo v súvislosti s daným spracúvaním, dozornému orgánu, a to najmä opatrení určených na zmiernenie rizika pre práva a slobody fyzických osôb.

- = -

(117) Zriadenie dozorných orgánov v členských štátoch oprávnených plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.

- = -

(122) Každý dozorný orgán by mal byť príslušný vykonávať na území svojho členského štátu právomoci a úlohy, ktoré mu boli zverené v súlade s týmto nariadením.
To by sa malo týkať najmä spracúvania v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu, spracúvania osobných údajov, ktoré vykonávajú orgány verejnej moci alebo súkromnoprávne subjekty konajúce vo verejnom záujme, spracúvania, ktoré ovplyvňuje dotknuté osoby na jeho území, alebo spracúvania vykonávaného prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, ak je zacielený na dotknuté osoby s pobytom na území Únie.
To by malo zahŕňať vybavovanie sťažností podaných dotknutými osobami, vedenie vyšetrovaní týkajúcich sa uplatňovania tohto nariadenia a zvyšovanie povedomia verejnosti o rizikách, pravidlách, zárukách a právach v súvislosti so spracúvaním osobných údajov.

- = -

(123) Dozorné orgány by mali monitorovať uplatňovanie ustanovení podľa tohto nariadenia a prispievať k jeho konzistentnému uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri spracúvaní ich osobných údajov a uľahčenia voľného toku osobných údajov v rámci vnútorného trhu.
Na tento účel by mali dozorné orgány spolupracovať navzájom, ako aj s Komisiou bez toho, aby boli potrebné akékoľvek dohody medzi členskými štátmi o poskytovaní vzájomnej pomoci alebo o takejto spolupráci.

- = -

(146) Prevádzkovateľ alebo sprostredkovateľ by mali nahradiť akúkoľvek škodu, ktorú môže osoba utrpieť v dôsledku spracúvania, ktoré je v rozpore s týmto nariadením.
Prevádzkovateľ alebo sprostredkovateľ by však mali byť tejto zodpovednosti zbavení, ak preukážu, že za škodu nenesú žiadnu zodpovednosť.
Podľa judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle spôsobom, ktorý v plnej miere zohľadňuje ciele tohto nariadenia.
Týmto nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných pravidiel stanovených v práve Únie alebo v práve členského štátu.
Spracúvanie, ktoré je v rozpore s týmto nariadením, zahŕňa aj spracúvanie, ktoré je v rozpore s delegovanými a vykonávacími aktmi prijatými v súlade s týmto nariadením a právom členského štátu, ktorým sa podrobnejšie upravujú pravidlá z tohto nariadenia.
Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.
Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, každý prevádzkovateľ alebo sprostredkovateľ by mal byť zodpovedný za celú škodu.
Ak sú však v súlade s právom členského štátu účastníkmi toho istého súdneho konania, náhrada škody sa môže rozdeliť podľa miery zodpovednosti každého prevádzkovateľa alebo sprostredkovateľa za škodu spôsobenú spracúvaním, pokiaľ je zaistená úplná a účinná náhrada pre dotknutú osobu, ktorá utrpela škodu.
Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.

- = -

(154) Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom.
Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem.
Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha.
V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia.
Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom.
Smernica Európskeho parlamentu a Rady 2003/98/ES (14) nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení.
Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.

- = -

(156) Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto nariadenia.
Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti splniť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Členské štáty by mali ustanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. Členské štáty by mali byť oprávnené stanoviť za osobitných podmienok a za primeraných záruk pre dotknuté osoby špecifikácie a výnimky z požiadaviek na informácie a práv na opravu, na vymazanie osobných údajov, na zabudnutie, obmedzenie spracúvania, na prenosnosť údajov a namietať pri spracúvaní osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely.
Tieto podmienky a záruky môžu zahŕňať osobitné postupy pre dotknuté osoby na uplatňovanie týchto práv, ak je to vhodné vzhľadom na účely osobitného spracúvania spolu s technickými a organizačnými opatreniami, ktorých cieľom je minimalizovať spracúvanie osobných údajov podľa zásad proporcionality a nevyhnutnosti.
Spracúvanie osobných údajov na vedecké účely by malo byť aj v súlade s ďalšími relevantnými právnymi predpismi, napríklad predpismi o klinických skúškach.

- = -

(171) Smernica 95/46/ES by sa mala týmto nariadením zrušiť.
Spracúvanie, ktoré už prebieha v deň začatia uplatňovania tohto nariadenia, by sa malo zosúladiť s týmto nariadením do dvoch rokov odo dňa jeho nadobudnutia účinnosti.
Ak sa spracúvanie zakladá na súhlase podľa smernice 95/46/ES, nie je na to, aby prevádzkovateľ mohol pokračovať v tomto spracúvaní po dátume začatia uplatňovania tohto nariadenia potrebné, aby dotknutá osoba opätovne vyjadrila svoj súhlas, pokiaľ je spôsob, akým bol súhlas vyjadrený v súlade s podmienkami tohto nariadenia.
Rozhodnutia, ktoré Komisia prijala, a povolenia, ktoré dozorné orgány vydali na základe smernice 95/46/ES, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.

- = -

(173) Toto nariadenie by sa malo uplatňovať na všetky záležitosti týkajúce sa ochrany základných práv a slobôd pri spracúvaní osobných údajov, ktoré nepodliehajú osobitným povinnostiam s rovnakým cieľom uvedeným v smernici Európskeho parlamentu a Rady 2002/58/ES (18) vrátane povinností prevádzkovateľa a práv fyzických osôb.
S cieľom spresniť vzťah medzi týmto nariadením a smernicou 2002/58/ES by sa uvedená smernica mala zodpovedajúcim spôsobom zmeniť.
Po prijatí tohto nariadenia by sa mala preskúmať smernica 2002/58/ES, najmä s cieľom zaistiť konzistentnosť s týmto nariadením,

- = -

dal 2004 diritto e informatica