search


interactive GDPR 2016/0679 SK

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 SK jump to: cercato: 'sprostredkovateľa' . Output generated live by software developed by IusOnDemand srl


index sprostredkovateľa:


whereas sprostredkovateľa:


definitions:


cloud tag: and the number of total unique words without stopwords is: 1983

 

Článok 3

Územná pôsobnosť

1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.

2.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí:

a)

s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo

b)

so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie.

3.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

1.

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2.

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.

„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

4.

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

5.

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.

„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

7.

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.

„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

9.

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.

„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.

„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.

„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.

„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.

„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

a)

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

b)

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.

„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.

„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.

„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.

„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)

prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)

dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)

sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)

spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)

spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.

„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.

„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

Zásady

Článok 27

Zástupcovia prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii

1.   Ak sa uplatňuje článok 3 ods. 2, prevádzkovateľ alebo sprostredkovateľ písomne určí zástupcu v Únii.

2.   Povinnosť stanovená v odseku 1 tohto článku sa nevzťahuje na:

a)

spracúvanie, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa článku 9 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo

b)

orgán verejnej moci či verejnoprávny subjekt.

3.   Zástupca musí byť usadený v jednom z tých členských štátov, v ktorých sa nachádzajú dotknuté osoby, ktorých osobné údaje sa spracúvajú v súvislosti s ponukou tovaru alebo služieb pre nich, alebo ktorých správanie sa sleduje.

4.   Prevádzkovateľ alebo sprostredkovateľ poverí zástupcu, aby sa naňho popri prevádzkovateľovi alebo sprostredkovateľovi alebo namiesto prevádzkovateľa alebo sprostredkovateľa obracali najmä dozorné orgány a dotknuté osoby, a to vo všetkých otázkach týkajúcich sa spracúvania na účely zabezpečenia súladu s týmto nariadením.

5.   Určením zástupcu prevádzkovateľom alebo sprostredkovateľom nie sú dotknuté právne prostriedky nápravy, ktoré by sa mohli iniciovať proti samotnému prevádzkovateľovi alebo sprostredkovateľovi.

Článok 28

Sprostredkovateľ

1.   Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2.   Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3.   Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

a)

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)

zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)

vykoná všetky požadované opatrenia podľa článku 32;

d)

dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)

po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)

pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)

po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)

poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4.   Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5.   Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6.   Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7.   Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8.   Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9.   Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10.   Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 29

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 30

Záznamy o spracovateľských činnostiach

1.   Každý prevádzkovateľ a v príslušnom prípade zástupca prevádzkovateľa vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Tieto záznamy musia obsahovať všetky tieto informácie:

a)

meno/názov a kontaktné údaje prevádzkovateľa a v príslušnom prípade spoločného prevádzkovateľa, zástupcu prevádzkovateľa a zodpovednej osoby;

b)

účely spracúvania;

c)

opis kategórií dotknutých osôb a kategórií osobných údajov;

d)

kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií;

e)

v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

f)

podľa možností predpokladané lehoty na vymazanie rôznych kategórií údajov;

g)

podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

2.   Každý sprostredkovateľ a v príslušnom prípade zástupca sprostredkovateľa vedie záznamy o všetkých kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa, pričom tieto záznamy obsahujú:

a)

meno/názov a kontaktné údaje sprostredkovateľa alebo sprostredkovateľov a každého prevádzkovateľa, v mene ktorého sprostredkovateľ koná, a v príslušnom prípade zástupcu prevádzkovateľa alebo sprostredkovateľa a zodpovednej osoby;

b)

kategórie spracúvania vykonávaného v mene každého prevádzkovateľa;

c)

v príslušných prípadoch prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácii vrátane označenia predmetnej tretej krajiny alebo medzinárodnej organizácie a v prípade prenosov uvedených v článku 49 ods. 1 druhom pododseku dokumentáciu primeraných záruk;

d)

podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení uvedených v článku 32 ods. 1.

3.   Záznamy uvedené v odsekoch 1 a 2 sa vedú v písomnej podobe vrátane elektronickej podoby.

4.   Prevádzkovateľ alebo sprostredkovateľ a v príslušnom prípade zástupca prevádzkovateľa alebo sprostredkovateľa na požiadanie sprístupnia záznamy dozornému orgánu.

5.   Povinnosti uvedené v odsekoch 1 a 2 sa nevzťahujú na podnik alebo organizáciu, ktorá zamestnáva menej ako 250 osôb, pokiaľ nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva a slobody dotknutej osoby, pokiaľ je toto spracúvanie príležitostné alebo nezahŕňa osobitné kategórie údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznaní viny za trestné činy a priestupky podľa článku 10.

Článok 32

Bezpečnosť spracúvania

1.   Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)

pseudonymizáciu a šifrovanie osobných údajov;

b)

schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)

schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)

proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2.   Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3.   Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4.   Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 36

Predchádzajúca konzultácia

1.   Prevádzkovateľ uskutoční s dozorným orgánom pred spracúvaním konzultácie, ak z posúdenia vplyvu na ochranu údajov podľa článku 35 vyplýva, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika.

2.   Ak sa dozorný orgán domnieva, že by zamýšľané spracúvanie uvedené v odseku 1 bolo v rozpore s týmto nariadením, najmä ak prevádzkovateľ nedostatočne identifikoval alebo zmiernil riziko, dozorný orgán do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi a prípadne aj sprostredkovateľovi písomné poradenstvo, pričom môže uplatniť akúkoľvek zo svojich právomocí uvedených v článku 58. Uvedená lehota sa môže predĺžiť o šesť týždňov, pričom sa zohľadní ucelenosť zamýšľaného spracúvania. Dozorný orgán informuje o takomto predĺžení lehoty prevádzkovateľa a prípadne sprostredkovateľa do jedného mesiaca od prijatia žiadosti o konzultáciu, pričom zároveň uvedie aj dôvody predĺženia lehoty. Plynutie týchto lehôt sa môže prerušiť, kým dozorný orgán nezíska informácie, o ktoré požiadal na účely konzultácie.

3.   Pri konzultácii dozorného orgánu podľa odseku 1 poskytne prevádzkovateľ dozornému orgánu:

a)

v príslušných prípadoch informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania, najmä v prípade spracúvania v rámci skupiny podnikov;

b)

informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie;

c)

informácie o opatreniach a zárukách poskytnutých na ochranu práv a slobôd dotknutých osôb podľa tohto nariadenia;

d)

v príslušných prípadoch kontaktné údaje zodpovednej osoby;

e)

posúdenie vplyvu na ochranu údajov stanovené v článku 35 a

f)

akékoľvek ďalšie informácie, o ktoré dozorný orgán požiada.

4.   Členské štáty uskutočňujú s dozorným orgánom konzultácie počas prípravy návrhu legislatívneho opatrenia, ktoré má prijať národný parlament, alebo regulačného opatrenia založeného na takomto legislatívnom opatrení, ktoré sa týka spracúvania.

5.   Bez ohľadu na odsek 1 sa na základe práva členského štátu môže od prevádzkovateľov vyžadovať, aby uskutočnili s dozorným orgánom konzultácie a získali od neho predchádzajúce povolenie v súvislosti so spracúvaním vykonávaným prevádzkovateľom na plnenie úlohy prevádzkovateľa vo verejnom záujme vrátane spracúvania v súvislosti so sociálnym zabezpečením a verejným zdravím.

Oddiel 4

Zodpovedná osoba

Článok 37

Určenie zodpovednej osoby

1.   Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)

spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)

hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

2.   Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

3.   Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4.   V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6.   Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

7.   Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Článok 38

Postavenie zodpovednej osoby

1.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

2.   Prevádzkovateľ a sprostredkovateľ podporujú zodpovednú osobu pri plnení úloh uvedených v článku 39, a to tak, že poskytujú zdroje potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí.

3.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4.   Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5.   Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

6.   Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.

Článok 39

Úlohy zodpovednej osoby

1.   Zodpovedná osoba má aspoň tieto úlohy:

a)

poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa tohto nariadenia a ostatných právnych predpisov Únie alebo členského štátu týkajúcich sa ochrany údajov;

b)

monitorovanie súladu s týmto nariadením, s ostatnými právnymi predpismi Únie alebo členského štátu týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa v súvislosti s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy personálu, ktorý je zapojený do spracovateľských operácií, a súvisiacich auditov;

c)

poskytovanie poradenstva na požiadanie, pokiaľ ide o posúdenie vplyvu na ochranu údajov a monitorovanie jeho vykonávania podľa článku 35;

d)

spolupráca s dozorným orgánom;

e)

plnenie úlohy kontaktného miesta pre dozorný orgán v súvislosti s otázkami týkajúcimi sa spracúvania vrátane predchádzajúcej konzultácie uvedenej v článku 36 a podľa potreby aj konzultácie v akýchkoľvek iných veciach.

2.   Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie na vedomie povahu, rozsah, kontext a účely spracúvania.

Oddiel 5

Kódexy správania a certifikácia

Článok 41

Monitorovanie schválených kódexov správania

1.   Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, monitorovanie súladu s kódexom správania podľa článku 40 môže vykonávať subjekt, ktorý má primeranú úroveň odborných znalostí vo vzťahu k predmetu úpravy kódexu a na tento účel je akreditovaný príslušným dozorným orgánom.

2.   Subjekt uvedený v odseku 1 môže byť akreditovaný na monitorovanie dodržiavania kódexu správania, ak tento subjekt:

a)

preukázal svoju nezávislosť a odborné znalosti vo vzťahu k predmetu úpravy kódexu k spokojnosti príslušného dozorného orgánu;

b)

stanovil postupy, ktoré mu umožňujú posúdiť oprávnenosť dotknutých prevádzkovateľov a sprostredkovateľov, pokiaľ ide o uplatňovanie kódexu, monitorovať, ako dodržiavajú ustanovenia kódexu a pravidelne preskúmavať jeho fungovanie;

c)

stanovil postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení kódexu alebo spôsobu, akým bol alebo je kódex vykonávaný prevádzkovateľom alebo sprostredkovateľom, a na dosiahnutie transparentnosti týchto postupov a štruktúr pre dotknuté osoby a verejnosť, a

d)

preukázal k spokojnosti príslušného dozorného orgánu, že jeho úlohy a povinnosti nevedú ku konfliktu záujmov.

3.   Príslušný dozorný orgán predloží návrh kritérií na akreditáciu subjektu uvedeného v odseku 1 tohto článku výboru podľa mechanizmu konzistentnosti uvedenému v článku 63.

4.   Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu a ustanovenia kapitoly VIII, subjekt uvedený v odseku 1 tohto článku prijme za primeraných záruk primerané opatrenia v prípadoch porušenia kódexu prevádzkovateľom alebo sprostredkovateľom vrátane pozastavenia členstva dotknutého prevádzkovateľa alebo sprostredkovateľa v kódexe alebo jeho vylúčenia z kódexu. O takých opatreniach vrátane dôvodov ich prijatia informuje príslušný dozorný orgán.

5.   Príslušný dozorný orgán odoberie akreditáciu subjektu uvedenému v odseku 1, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak kroky podniknuté týmto subjektom sú v rozpore s týmto nariadením.

6.   Tento článok sa neuplatňuje na spracúvanie vykonávané orgánmi verejnej moci a verejnoprávnymi subjektmi.

Článok 42

Certifikácia

1.   Členské štáty, dozorné orgány, výbor a Komisia podporia, predovšetkým na úrovni Únie, zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov na účely preukázania súladu s týmto nariadením, pokiaľ ide o spracovateľské operácie vykonávané prevádzkovateľmi a sprostredkovateľmi. Zohľadnia sa osobitné potreby mikropodnikov a malých a stredných podnikov.

2.   Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, sa môžu stanoviť v oblasti ochrany údajov certifikačné mechanizmy, pečate alebo značky schválené podľa odseku 5 tohto článku s cieľom preukázať existenciu primeraných záruk zabezpečených prevádzkovateľmi alebo sprostredkovateľmi, na ktorých sa toto nariadenie podľa článku 3 nevzťahuje, v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. f). Takíto prevádzkovatelia alebo sprostredkovatelia môžu prijať záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

3.   Certifikácia je dobrovoľná a dostupná prostredníctvom postupu, ktorý je transparentný.

4.   Certifikáciou podľa tohto článku sa neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať toto nariadenie a nie sú ňou dotknuté úlohy a právomoci dozorných orgánov, ktoré sú príslušné podľa článku 55 alebo 56.

5.   Certifikáciu podľa tohto článku vydajú certifikačné subjekty uvedené v článku 43 alebo príslušný dozorný orgán na základe kritérií schválených uvedeným príslušným dozorným orgánom podľa článku 58 ods. 3 alebo kritérií schválených výborom podľa článku 63. Ak kritériá schvaľuje výbor, môže to viesť k spoločnej certifikácii, európskej pečati ochrany údajov.

6.   Prevádzkovateľ alebo sprostredkovateľ, ktorý predkladá svoje spracúvanie certifikačnému mechanizmu, poskytne certifikačnému subjektu uvedenému v článku 43 alebo v príslušnom prípade príslušnému dozornému orgánu všetky informácie a prístup k svojim spracovateľským činnostiam, ktoré sú potrebné na vykonanie certifikačného postupu.

7.   Certifikácia sa prevádzkovateľovi alebo sprostredkovateľovi vydá na maximálne obdobie troch rokov a môže sa obnoviť za rovnakých podmienok, pokiaľ sa naďalej plnia príslušné požiadavky. Certifikačné subjekty uvedené v článku 43 alebo v príslušnom prípade príslušný dozorný orgán certifikáciu odoberú, ak nie sú alebo už nie sú splnené požiadavky na certifikáciu.

8.   Výbor zhromažďuje všetky certifikačné mechanizmy a pečate a značky ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

Článok 43

Certifikačné subjekty

1.   Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, certifikačné subjekty, ktoré majú primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov, vydajú a obnovia certifikáciu po tom, ako informujú dozorný orgán, aby mu umožnili uplatniť jeho právomoci podľa článku 58 ods. 2 písm. h). Členské štáty zabezpečia, aby boli tieto certifikačné subjekty akreditované jedným či oboma z týchto orgánov:

a)

dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56;

b)

národným akreditačným orgánom vymenovaným v súlade s nariadením Európskeho parlamentu a Rady (ES) č. 765/2008 (20) v súlade s EN-ISO/IEC 17065/2012 a s dodatočnými požiadavkami stanovenými dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56.

2.   Certifikačné subjekty uvedené v odseku 1 sú akreditované v súlade s uvedeným odsekom, len ak:

a)

preukázali svoju nezávislosť a odborné znalosti vo vzťahu k predmetu certifikácie k spokojnosti príslušného dozorného orgánu;

b)

zaviazali sa rešpektovať kritéria uvedené v článku 42 ods. 5 a schválené dozorným orgánom, ktorý je príslušný orgán podľa článku 55 alebo 56, alebo schválené výborom podľa článku 63;

c)

stanovili postupy na vydávanie, pravidelné preskúmanie a odoberanie certifikácie, pečatí a značiek ochrany údajov;

d)

stanovili postupy a štruktúry na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým bola alebo je certifikácia vykonávaná prevádzkovateľom alebo sprostredkovateľom, a tieto postupy a štruktúry spravili transparentnými pre dotknuté osoby a verejnosť, a

e)

preukázali k spokojnosti príslušného dozorného orgánu, že ich úlohy a povinnosti nevedú ku konfliktu záujmov.

3.   Akreditácia certifikačných subjektov podľa odsekov 1 a 2 tohto článku sa uskutoční na základe kritérií schválených dozorným orgánom, ktorý je príslušný podľa článku 55 alebo 56, alebo kritérií schválených výborom podľa článku 63. V prípade akreditácie podľa odseku 1 písm. b) tohto článku dopĺňajú tieto požiadavky tie požiadavky, ktoré sa stanovujú v nariadení (ES) č. 765/2008, a technické pravidlá, ktorými sa opisujú metódy a postupy certifikačných subjektov.

4.   Certifikačné subjekty uvedené v odseku 1 sú zodpovedné za riadne posúdenie, ktoré povedie k certifikácii alebo odňatiu tejto certifikácie, pričom tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa zabezpečiť súlad s týmto nariadením. Akreditácia sa vydáva na maximálne obdobie piatich rokov a možno ju obnoviť za rovnakých podmienok, pokiaľ certifikačný subjekt spĺňa požiadavky stanovené v tomto článku.

5.   Certifikačné subjekty uvedené v odseku 1 informujú príslušné dozorné orgány o dôvodoch udelenia alebo odňatia požadovanej certifikácie.

6.   Dozorný orgán zverejní požiadavky uvedené v odseku 3 tohto článku a kritériá uvedené v článku 42 ods. 5 v ľahko dostupnej forme. Dozorné orgány tiež zasielajú tieto požiadavky a kritériá výboru. Výbor zhromažďuje všetky certifikačné mechanizmy a pečate ochrany údajov v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

7.   Príslušný dozorný orgán alebo národný akreditačný orgán bez toho, aby bola dotknutá kapitola VIII, odoberie akreditáciu certifikačného subjektu podľa odseku 1 tohto článku, ak nie sú splnené podmienky na akreditáciu alebo sa podmienky na akreditáciu už viac neplnia, alebo ak sú kroky podniknuté certifikačným subjektom v rozpore s týmto nariadením.

8.   Komisia je splnomocnená v súlade s článkom 92 prijímať delegované akty s cieľom bližšie určiť požiadavky, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov uvedených v článku 42 ods. 1.

9.   Komisia môže prijať vykonávacie akty stanovujúce technické normy pre certifikačné mechanizmy a pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie týchto mechanizmov certifikácie, pečatí a značiek. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

KAPITOLA V

Prenosy osobných údajov do tretích krajín alebo medzinárodným organizáciám

Článok 46

Prenosy vyžadujúce primerané záruky

1.   Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2.   Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

a)

právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)

záväzných vnútropodnikových pravidiel v súlade s článkom 47;

c)

štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;

d)

štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán, a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2;

e)

schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

f)

schváleného certifikačného mechanizmu podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb.

3.   S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)

zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, alebo

b)

ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4.   Dozorný orgán uplatňuje mechanizmus konzistentnosti uvedený v článku 63 v prípadoch uvedených v odseku 3 tohto článku.

5.   Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.

Článok 48

Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľuje

Akýkoľvek rozsudok súdu alebo tribunálu a akékoľvek rozhodnutie správneho orgánu tretej krajiny, ktorým sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné akýmkoľvek spôsobom len vtedy, ak sa zakladá na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci, platnej medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom bez toho, aby boli dotknuté iné dôvody prenosu podľa tejto kapitoly.

Článok 56

Príslušnosť hlavného dozorného orgánu

1.   Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60.

2.   Odchylne od odseku 1 je každý dozorný orgán príslušný zaoberať sa jemu podanou sťažnosťou alebo prípadným porušením tohto nariadenia, ak sa skutková podstata týka iba prevádzkarne v jeho členskom štáte alebo podstatne ovplyvňuje dotknuté osoby iba v jeho členskom štáte.

3.   V prípadoch uvedených v odseku 2 tohto článku dozorný orgán o tejto otázke bezodkladne informuje vedúci dozorný orgán. Vedúci dozorný orgán rozhodne v lehote troch týždňov odvtedy, ako bol informovaný, či sa bude alebo nebude prípadom zaoberať v súlade s postupom stanoveným v článku 60, pričom zohľadní, či prevádzkovateľ alebo sprostredkovateľ má alebo nemá prevádzkareň v členskom štáte dozorného orgánu, ktorý ho informoval.

4.   Ak vedúci dozorný orgán rozhodne, že sa prípadom bude zaoberať, uplatňuje sa postup stanovený v článku 60. Dozorný orgán, ktorý informoval vedúci dozorný orgán, môže vedúcemu dozornému orgánu predložiť návrh rozhodnutia. Vedúci dozorný orgán uvedený návrh rozhodnutia v čo najväčšej miere zohľadní pri vypracúvaní návrhu rozhodnutia uvedeného v článku 60 ods. 3.

5.   Ak vedúci dozorný orgán rozhodne, že sa prípadom nebude zaoberať, v súlade s článkami 61 a 62 sa prípadom bude zaoberať dozorný orgán, ktorý informoval vedúci dozorný orgán.

6.   Vedúci dozorný orgán je jediným partnerom prevádzkovateľa alebo sprostredkovateľa v súvislosti s cezhraničným spracúvaním vykonávaným týmto prevádzkovateľom alebo sprostredkovateľom.

Článok 58

Právomoci

1.   Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

a)

nariadiť prevádzkovateľovi a sprostredkovateľovi a v príslušnom prípade zástupcovi prevádzkovateľa alebo sprostredkovateľa, aby poskytli všetky informácie, ktoré vyžaduje na plnenie svojich úloh;

b)

viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)

vykonávať preskúmania certifikácií vydaných podľa článku 42 ods. 7;

d)

oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

e)

získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

f)

získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu.

2.   Každý dozorný orgán má všetky tieto nápravné právomoci:

a)

upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)

napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)

nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

e)

nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

f)

nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

g)

nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19;

h)

odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu vydanú podľa článkov 42 a 43, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu;

i)

uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

j)

nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

3.   Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

a)

poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 36;

b)

vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti;

c)

povoliť spracúvanie uvedené v článku 36 ods. 5, ak právo členského štátu vyžaduje takéto predchádzajúce povolenie;

d)

vydávať stanoviská a schvaľovať návrhy kódexov správania podľa článku 40 ods. 5;

e)

akreditovať certifikačné subjekty podľa článku 43;

f)

vydávať certifikácie a schvaľovať kritériá certifikácie v súlade s článkom 42 ods. 5;

g)

prijímať štandardné doložky o ochrane údajov uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

h)

schvaľovať zmluvné doložky uvedené v článku 46 ods. 3 písm. a);

i)

schvaľovať administratívne dojednania uvedené v článku 46 ods. 3 písm. b);

j)

schvaľovať záväzné vnútropodnikové pravidlá podľa článku 47.

4.   Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

5.   Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6.   Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.

Článok 60

Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi

1.   Vedúci dozorný orgán spolupracuje s inými dotknutými dozornými orgánmi v súlade s týmto článkom a s cieľom dosiahnuť konsenzus. Vedúci dozorný orgán a dotknuté dozorné orgány si navzájom vymieňajú všetky relevantné informácie.

2.   Vedúci dozorný orgán môže kedykoľvek požiadať iné dotknuté dozorné orgány, aby mu poskytli vzájomnú pomoc podľa článku 61, a môže uskutočniť spoločné operácie podľa článku 62, najmä na účely vykonania vyšetrovania alebo monitorovania vykonávania opatrenia, ktoré sa týka prevádzkovateľa alebo sprostredkovateľa usadeného v inom členskom štáte.

3.   Vedúci dozorný orgán bezodkladne oznámi relevantné informácie týkajúce sa veci iným dotknutým dozorným orgánom. Bezodkladne predloží iným dotknutým dozorným orgánom návrh rozhodnutia, aby sa k nemu vyjadrili a aby sa náležite zohľadnili ich stanoviská.

4.   Ak ktorýkoľvek z iných dotknutých dozorných orgánov podá v lehote štyroch týždňov odo dňa, kedy bol v súlade s odsekom 3 tohto článku konzultovaný, relevantnú a odôvodnenú námietku k návrhu rozhodnutia, vedúci dozorný orgán, ak s relevantnou a odôvodnenou námietkou nesúhlasí alebo sa domnieva, že námietka je nerelevantná alebo neodôvodnená, predloží záležitosť mechanizmu konzistentnosti uvedenému v článku 63.

5.   Ak má vedúci dozorný orgán v úmysle podanej relevantnej a odôvodnenej námietke vyhovieť, predloží iným dotknutým dozorným orgánom revidovaný návrh rozhodnutia na účely vyjadrenia stanoviska. Tento revidovaný návrh rozhodnutia podlieha postupu uvedenému v odseku 4 v lehote dvoch týždňov.

6.   Ak voči návrhu rozhodnutia, ktorý predložil vedúci dozorný orgán, nenamietal v lehote uvedenej v odsekoch 4 a 5 žiadny z iných dotknutých dozorných orgánov, platí, že vedúci dozorný orgán a dotknuté dozorné orgány s týmto návrhom rozhodnutia súhlasia a tento návrh rozhodnutia sa pre ne stáva záväzným.

7.   Vedúci dozorný orgán rozhodnutie prijme a oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa, prípadne sprostredkovateľa, a o danom rozhodnutí vrátane zhrnutia relevantných faktov a dôvodov informuje iné dotknuté dozorné orgány a výbor. Dozorný orgán, na ktorom sa sťažnosť podala, informuje sťažovateľa o rozhodnutí.

8.   Odchylne od odseku 7, ak sa sťažnosť odmietne alebo sa jej nevyhovie, dozorný orgán, na ktorom sa sťažnosť podala, prijme rozhodnutie, oznámi ho sťažovateľovi a informuje prevádzkovateľa.

9.   Ak sa vedúci dozorný orgán a dotknuté dozorné orgány dohodnú na tom, že sa časti sťažnosti odmietnu alebo sa im nevyhovie a v súvislosti s inými časťami sťažnosti sa bude konať, pre každú z týchto častí danej veci sa prijme samostatné rozhodnutie. Vedúci dozorný orgán prijme rozhodnutie pre časť týkajúcu sa opatrení vzťahujúcich sa na prevádzkovateľa, oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu a informuje o tom sťažovateľa, zatiaľ čo dozorný orgán sťažovateľa prijme rozhodnutie pre časť týkajúcu sa odmietnutia danej sťažnosti alebo jej nevyhoveniu a oznámi toto rozhodnutie sťažovateľovi a informuje o tom prevádzkovateľa alebo sprostredkovateľa.

10.   Po tom, ako im je oznámené rozhodnutie vedúceho dozorného orgánu podľa odsekov 7 a 9, prevádzkovateľ alebo sprostredkovateľ prijmú potrebné opatrenia na zabezpečenie súladu s rozhodnutím, pokiaľ ide o spracovateľské činnosti v súvislosti so všetkými svojimi prevádzkarňami v Únii. Prevádzkovateľ alebo sprostredkovateľ oznámia opatrenia prijaté na dodržanie rozhodnutia vedúceho dozornému orgánu, ktorý o tom informuje iné dotknuté dozorné orgány.

11.   Ak má dotknutý dozorný orgán vo výnimočných prípadoch dôvody domnievať sa, že je naliehavo potrebné konať v záujme ochrany záujmov dotknutých osôb, uplatňuje sa postup pre naliehavé prípady uvedený v článku 66.

12.   Vedúci dozorný orgán a iné dotknuté dozorné orgány si navzájom v elektronickej forme a s použitím štandardizovaného formátu poskytujú informácie, ktoré sa požadujú v rámci tohto článku.

Článok 70

Úlohy výboru

1.   Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)

monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)

poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)

poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)

vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)

preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

g)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

i)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)

vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)

preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)

nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)

vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)

spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)

poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)

poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

s)

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)

vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)

podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)

podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)

podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)

poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)

vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2.   Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3.   Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4.   Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

Článok 82

Právo na náhradu škody a zodpovednosť

1.   Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.

2.   Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.

3.   Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti podľa odseku 2, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu.

4.   Ak sa na tom istom spracúvaní zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním, každý z nich zodpovedá za celú škodu, aby sa dotknutej osobe zabezpečila účinná náhrada.

5.   Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 zaplatil náhradu spôsobenej škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok stanovených v odseku 2.

6.   Návrhy na začatie súdnych konaní na účely uplatnenia práva na náhradu škody sa podávajú na súdy príslušné podľa práva členského štátu uvedeného v článku 79 ods. 2.

Článok 83

Všeobecné podmienky ukladania správnych pokút

1.   Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2.   Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)

povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)

úmyselný alebo nedbanlivostný charakter porušenia;

c)

akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

d)

miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;

e)

akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;

f)

miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;

g)

kategórie osobných údajov, ktorých sa porušenie týka;

h)

spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;

i)

ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;

j)

dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a

k)

akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3.   Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)

povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;

b)

povinnosti certifikačného subjektu podľa článkov 42 a 43;

c)

povinnosti monitorujúceho subjektu podľa článku 41 ods. 4.

5.   Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)

základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;

b)

práva dotknutých osôb podľa článkov 12 až 22;

c)

prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 44 až 49;

d)

akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;

e)

nesplnenie príkazu alebo nedodržanie dočasného alebo definitívneho obmedzenia spracúvania alebo pozastavenia tokov údajov nariadeného dozorným orgánom podľa článku 58 ods. 2, alebo v rozpore s článkom 58 ods. 1 neposkytnutie prístupu.

6.   Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

7.   Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.

8.   Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

9.   Ak sa v právnom systéme členského štátu nestanovujú správne pokuty, tento článok sa môže uplatňovať tak, že uloženie pokuty iniciuje príslušný dozorný orgán a uloží ju príslušný vnútroštátny súd, pričom sa zabezpečí, aby tieto právne prostriedky nápravy boli účinné a mali rovnocenný účinok ako správne pokuty ukladané dozornými orgánmi. Ukladané pokuty musia byť v každom prípade účinné, primerané a odrádzajúce. Uvedené členské štáty oznámia ustanovenia svojich právnych predpisov, ktoré prijmú podľa tohto odseku, Komisii do 25. mája 2018 a bezodkladne oznámia aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.


whereas

dal 2004 diritto e informatica