interactive GDPR 2016/0679 SK

1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.

2. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí:

a)	s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo

b)	so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie.

3. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.

Článok 17

Právo na vymazanie (právo „na zabudnutie“)

1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:

a)	osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b)	dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;

c)	dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;

d)	osobné údaje sa spracúvali nezákonne;

e)	osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;

f)	osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.

2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

3. Odseky 1 a 2 sa neuplatňujú, pokiaľ je spracúvanie potrebné:

a)	na uplatnenie práva na slobodu prejavu a na informácie;

b)	na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

c)	z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3;

d)	na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo

e)	na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Článok 19

Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania

Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.

Článok 28

Sprostredkovateľ

1. Ak sa má spracúvanie uskutočniť v mene prevádzkovateľa, prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.

2. Sprostredkovateľ nezapojí ďalšieho sprostredkovateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. V prípade všeobecného písomného povolenia sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

3. Spracúvanie sprostredkovateľom sa riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo práva členského štátu, ktoré zaväzuje sprostredkovateľa voči prevádzkovateľovi a ktorým sa stanovuje predmet a doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. Uvedená zmluva alebo iný právny akt najmä stanovia, že sprostredkovateľ:

spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa, a to aj pokiaľ ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, s výnimkou prípadov, keď si to vyžaduje právo Únie alebo právo členského štátu, ktorému sprostredkovateľ podlieha; v takom prípade sprostredkovateľ oznámi prevádzkovateľovi túto právnu požiadavku pred spracúvaním, pokiaľ dané právo takéto oznámenie nezakazuje zo závažných dôvodov verejného záujmu;

b)	zabezpečí, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií, alebo aby boli viazané vhodnou povinnosťou zachovávať dôvernosť informácií vyplývajúcou zo štatútu;

c)	vykoná všetky požadované opatrenia podľa článku 32;

d)	dodržiava podmienky zapojenia ďalšieho sprostredkovateľa uvedené v odsekoch 2 a 4;

e)	po zohľadnení povahy spracúvania v čo najväčšej miere pomáha prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti reagovať na žiadosti o výkon práv dotknutej osoby ustanovených v kapitole III;

f)	pomáha prevádzkovateľovi zabezpečiť plnenie povinností podľa článkov 32 až 36 s prihliadnutím na povahu spracúvania a informácie dostupné sprostredkovateľovi;

g)	po ukončení poskytovania služieb týkajúcich sa spracúvania na základe rozhodnutia prevádzkovateľa všetky osobné údaje vymaže alebo vráti prevádzkovateľovi a vymaže existujúce kópie, ak právo Únie alebo právo členského štátu nepožaduje uchovávanie týchto osobných údajov;

h)	poskytne prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených v tomto článku a umožní audity, ako aj kontroly vykonávané prevádzkovateľom alebo iným audítorom, ktorého poveril prevádzkovateľ, a prispieva k nim.

So zreteľom na písmeno h) prvého pododseku sprostredkovateľ bezodkladne informuje prevádzkovateľa, ak sa podľa jeho názoru pokynom porušuje toto nariadenie alebo iné právne predpisy Únie alebo členského štátu týkajúce sa ochrany údajov.

4. Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to predovšetkým poskytnutie dostatočných záruk na vykonanie primeraných technických a organizačných opatrení takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia. Ak tento ďalší sprostredkovateľ nesplní svoje povinnosti ochrany údajov, pôvodný sprostredkovateľ zostáva voči prevádzkovateľovi plne zodpovedný za plnenie povinností tohto ďalšieho sprostredkovateľa.

5. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sprostredkovateľom sa môže použiť ako prvok na preukázanie dostatočných záruk uvedených v odsekoch 1 a 4 tohto článku.

6. Bez toho, aby tým bola dotknutá individuálna zmluva medzi prevádzkovateľom a sprostredkovateľom, zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 tohto článku sa môžu vcelku alebo sčasti zakladať na štandardných zmluvných doložkách uvedených v odsekoch 7 a 8 tohto článku, a to aj v prípadoch, keď sú súčasťou certifikácie udelenej prevádzkovateľovi alebo sprostredkovateľovi podľa článkov 42 a 43.

7. Komisia môže stanoviť štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

8. Dozorný orgán môže prijať štandardné zmluvné doložky pre záležitosti uvedené v odsekoch 3 a 4 tohto článku a v súlade s mechanizmom konzistentnosti uvedeným v článku 63.

9. Zmluva alebo iný právny akt uvedené v odsekoch 3 a 4 sa vypracujú v písomnej podobe vrátane elektronickej podoby.

10. Bez toho, aby dotknuté články 82, 83 a 84, ak sprostredkovateľ poruší toto nariadenie tým, že určí účely a prostriedky spracúvania, považuje sa v súvislosti s daným spracúvaním za prevádzkovateľa.

Článok 29

Spracúvanie na základe poverenia prevádzkovateľa alebo sprostredkovateľa

Sprostredkovateľ a každá osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 32

Bezpečnosť spracúvania

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 34

Oznámenie porušenia ochrany osobných údajov dotknutej osobe

1. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

2. Oznámenie dotknutej osobe uvedené v odseku 1 tohto článku obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a aspoň informácie a opatrenia uvedené v článku 33 ods. 3 písm. b), c) a d).

3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok:

prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie;

b)	prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb uvedené v odseku 1 pravdepodobne už nebude mať dôsledky;

c)	by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.

4. Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, dozorný orgán môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.

Oddiel 3

Posúdenie vplyvu na ochranu údajov a predchádzajúca konzultácia

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 37

Určenie zodpovednej osoby

1. Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)	spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)	hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

2. Skupina podnikov môže určiť jednu zodpovednú osobu, ak je zodpovedná osoba ľahko dostupná z každej prevádzkarne.

3. Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávny subjekt, pre viaceré takéto orgány alebo subjekty sa môže určiť jedna zodpovedná osoba, pričom sa zohľadní ich organizačná štruktúra a veľkosť.

4. V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5. Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6. Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.

7. Prevádzkovateľ alebo sprostredkovateľ zverejnia kontaktné údaje zodpovednej osoby a oznámia ich dozornému orgánu.

Článok 48

Prenosy alebo poskytovanie údajov, ktoré právo Únie nepovoľuje

Akýkoľvek rozsudok súdu alebo tribunálu a akékoľvek rozhodnutie správneho orgánu tretej krajiny, ktorým sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné akýmkoľvek spôsobom len vtedy, ak sa zakladá na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci, platnej medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom bez toho, aby boli dotknuté iné dôvody prenosu podľa tejto kapitoly.

Článok 58

Právomoci

1. Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

a)	nariadiť prevádzkovateľovi a sprostredkovateľovi a v príslušnom prípade zástupcovi prevádzkovateľa alebo sprostredkovateľa, aby poskytli všetky informácie, ktoré vyžaduje na plnenie svojich úloh;

b)	viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)	vykonávať preskúmania certifikácií vydaných podľa článku 42 ods. 7;

d)	oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

e)	získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

f)	získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu.

2. Každý dozorný orgán má všetky tieto nápravné právomoci:

a)	upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)	napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

e)	nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

f)	nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

g)	nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19;

h)	odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu vydanú podľa článkov 42 a 43, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu;

i)	uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

j)	nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

3. Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

a)	poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 36;

b)	vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti;

c)	povoliť spracúvanie uvedené v článku 36 ods. 5, ak právo členského štátu vyžaduje takéto predchádzajúce povolenie;

d)	vydávať stanoviská a schvaľovať návrhy kódexov správania podľa článku 40 ods. 5;

e)	akreditovať certifikačné subjekty podľa článku 43;

f)	vydávať certifikácie a schvaľovať kritériá certifikácie v súlade s článkom 42 ods. 5;

g)	prijímať štandardné doložky o ochrane údajov uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

h)	schvaľovať zmluvné doložky uvedené v článku 46 ods. 3 písm. a);

i)	schvaľovať administratívne dojednania uvedené v článku 46 ods. 3 písm. b);

j)	schvaľovať záväzné vnútropodnikové pravidlá podľa článku 47.

4. Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

5. Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6. Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.

Článok 61

Vzájomná pomoc

1. Dozorné orgány si navzájom poskytujú relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania tohto nariadenia a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o predchádzajúce povolenie a konzultácie, kontroly a vyšetrovania.

2. Každý dozorný orgán prijme všetky primerané opatrenia potrebné na to, aby na žiadosť iného dozorného orgánu odpovedal bez zbytočného odkladu a najneskôr do jedného mesiaca po prijatí žiadosti. K takýmto opatreniam môže patriť napríklad zaslanie relevantných informácií o vedení vyšetrovania.

3. Žiadosti o pomoc obsahujú všetky nevyhnutné informácie vrátane účelu a dôvodov žiadosti. Vymieňané informácie sa použijú len na účel, na ktorý boli vyžiadané.

4. Dožiadaný dozorný orgán nesmie odmietnuť vyhovieť žiadosti s výnimkou prípadu, keď:

a)	nie je príslušný pre predmet žiadosti alebo pre opatrenia, o vykonanie ktorých bol požiadaný, alebo

b)	vyhovenie žiadosti by bolo v rozpore s týmto nariadením alebo s právom Únie alebo s právom členského štátu, ktorému podlieha dozorný orgán, ktorému bola žiadosť doručená.

5. Dožiadaný dozorný orgán poskytne žiadajúcemu dozornému orgánu informácie o výsledkoch opatrení prijatých s cieľom reagovať na žiadosť alebo prípadne o pokroku dosiahnutom v tejto súvislosti. Dožiadaný dozorný orgán v prípade odmietnutia žiadosti podľa odseku 4 toto odmietnutie odôvodní.

6. Dožiadané dozorné orgány poskytnú informácie požadované inými dozornými orgánmi spravidla elektronickými prostriedkami, pričom používajú štandardizovaný formát.

7. Dožiadané dozorné orgány neúčtujú za opatrenie, ktoré vykonali na základe žiadosti o vzájomnú pomoc, žiadny poplatok. Dozorné orgány sa môžu dohodnúť na pravidlách vzájomnej náhrady v prípade špecifických výdavkov, ktoré vyplývajú z poskytnutia vzájomnej pomoci za výnimočných okolností.

8. Ak dozorný orgán neposkytne informácie uvedené v odseku 5 tohto článku do jedného mesiaca od doručenia žiadosti od iného dozorného orgánu, žiadajúci dozorný orgán môže prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55 ods. 1. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

9. Komisia môže prostredníctvom vykonávacích aktov spresniť formát a postupy pre vzájomnú pomoc uvedené v tomto článku a opatrenia na výmenu informácií elektronickými prostriedkami medzi dozornými orgánmi navzájom, ako aj medzi dozornými orgánmi a výborom, najmä štandardizovaný formát uvedený v odseku 6 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 62

Spoločné operácie dozorných orgánov

1. Dozorné orgány podľa potreby vykonávajú spoločné operácie vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania, do ktorých sú zapojení členovia alebo personál dozorných orgánov iných členských štátov.

2. Ak má prevádzkovateľ alebo sprostredkovateľ prevádzkarne vo viacerých členských štátoch alebo keď je pravdepodobné, že spracovateľské operácie budú mať podstatný vplyv na významný počet dotknutých osôb vo viac ako jednom členskom štáte, dozorný orgán každého z týchto členských štátov má právo podieľať sa na spoločných operáciách. Dozorný orgán, ktorý je príslušný podľa článku 56 ods. 1 alebo 4, vyzve dozorné orgány z každého z týchto členských štátov, aby sa zúčastnili na dotknutých spoločných operáciách a bezodkladne reaguje na žiadosť dozorného orgánu o zapojenie sa.

3. Dozorný orgán môže v súlade s právom členského štátu a s povolením vysielajúceho dozorného orgánu udeliť členom alebo personálu vysielajúceho dozorného orgánu zúčastňujúcemu sa na spoločných operáciách právomoci vrátane vyšetrovacích právomocí alebo, pokiaľ to umožňuje právo členského štátu hostiteľského dozorného orgánu, umožniť členom alebo personálu vysielajúceho dozorného orgánu uplatňovať ich vyšetrovacie právomoci v súlade s právom členského štátu vysielajúceho dozorného orgánu. Takéto vyšetrovacie právomoci sa môžu uplatňovať len pod usmernením a za prítomnosti členov alebo personálu hostiteľského dozorného orgánu. Členovia alebo personál vysielajúceho dozorného orgánu podliehajú právu členského štátu hostiteľského dozorného orgánu.

4. Ak personál vysielajúceho dozorného orgánu pôsobí v súlade s odsekom 1 v inom členskom štáte, prevezme členský štát hostiteľského dozorného orgánu zodpovednosť za jeho konanie vrátane zodpovednosti za každú škodu, ktorú tento personál spôsobí počas svojho pôsobenia, v súlade s právom členského štátu, na ktorého území pôsobí.

5. Členský štát, na území ktorého bola škoda spôsobená, nahradí túto škodu za rovnakých podmienok, ktoré sa vzťahujú na škodu spôsobenú jeho vlastným personálom. Členský štát vysielajúceho dozorného orgánu, ktorého personál spôsobil škodu akejkoľvek osobe na území iného členského štátu, v plnom rozsahu uhradí tomuto inému členskému štátu akúkoľvek sumu, ktorú vyplatil osobám, ktoré majú na to v ich mene nárok.

6. Bez toho, aby bolo dotknuté uplatnenie jeho práv voči tretím stranám, a s výnimkou odseku 5 nesmie žiadny členský štát v prípade uvedenom v odseku 1 vyžadovať od iného členského štátu náhradu v súvislosti so škodou uvedenou v odseku 4.

7. Ak sa plánuje spoločná operácia a dozorný orgán nesplní svoju povinnosť stanovenú v druhej vete odseku 2 tohto článku do jedného mesiaca, ostatné dozorné orgány môžu prijať predbežné opatrenie na území svojho členského štátu v súlade s článkom 55. V uvedenom prípade platí domnienka, že je splnená naliehavá potreba konať podľa článku 66 ods. 1, ktorá si vyžaduje stanovisko alebo naliehavé záväzné rozhodnutie výboru podľa článku 66 ods. 2.

Oddiel 2

Konzistentnosť

Článok 70

Úlohy výboru

1. Výbor zaisťuje konzistentné uplatňovanie tohto nariadenia. Na tento účel výbor z vlastnej iniciatívy, alebo prípadne na žiadosť Komisie, najmä:

a)	monitoruje a zabezpečuje správne uplatňovanie tohto nariadenia v prípadoch stanovených v článkoch 64 a 65 bez toho, aby boli dotknuté úlohy vnútroštátnych dozorných orgánov;

b)	poskytuje Komisii poradenstvo v akejkoľvek otázke týkajúcej sa ochrany osobných údajov v Únii vrátane akýchkoľvek navrhovaných zmien tohto nariadenia;

c)	poskytuje Komisii poradenstvo v otázkach formátu a postupov výmeny informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi, pokiaľ ide o záväzné vnútropodnikové pravidlá;

d)	vydáva usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov, kópií alebo replík osobných údajov z verejne dostupných komunikačných služieb podľa článku 17 ods. 2;

e)	preskúmava z vlastnej iniciatívy, na žiadosť jedného zo svojich členov alebo na žiadosť Komisie akúkoľvek otázku týkajúcu sa uplatňovania tohto nariadenia a vydáva usmernenia, odporúčania a najlepšie postupy s cieľom podnietiť konzistentné uplatňovanie tohto nariadenia;

f)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku s cieľom podrobnejšie určiť kritériá a podmienky pre rozhodnutia založené na profilovaní podľa článku 22 ods. 2;

vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku na konštatovanie porušení ochrany osobných údajov a určenie zbytočného odkladu uvedeného v článku 33 ods. 1 a 2, ako aj osobitných okolností, za ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov;

h)	vydáva usmernenia, odporúčania a najlepšie postupy v súlade s písmenom e) tohto odseku týkajúce sa okolností, za ktorých porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb podľa článku 34 ods. 1;

vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov založené na záväzných vnútropodnikových pravidlách, ktoré dodržiavajú prevádzkovatelia, a záväzných vnútropodnikových pravidlách, ktoré dodržujú sprostredkovatelia, ako aj ďalšie potrebné požiadavky na zaistenie ochrany osobných údajov dotknutých osôb podľa článku 47;

j)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom podrobnejšie určiť kritériá a požiadavky na prenosy osobných údajov na základe článku 49 ods. 1;

k)	vypracúva usmernenia pre dozorné orgány, pokiaľ ide o uplatňovanie opatrení uvedených v článku 58 ods. 1, 2 a 3 a stanovenie správnych pokút podľa článku 83;

l)	preskúmava praktické uplatňovanie usmernení, odporúčaní a najlepších postupov uvedených v písmenách e) a f);

m)	vydáva usmernenia, odporúčania a najlepšie postupy podľa písmena e) tohto odseku s cieľom stanoviť spoločné postupy na ohlasovanie porušení tohto nariadenia fyzickými osobami podľa článku 54 ods. 2;

n)	nabáda k vypracovaniu kódexov správania a vytvoreniu mechanizmov certifikácie ochrany údajov a pečatí a značiek ochrany údajov podľa článkov 40 a 42;

o)	vykonáva akreditáciu certifikačných subjektov a jej pravidelné preskúmanie podľa článku 43 a vedie verejný register akreditovaných orgánov podľa článku 43 ods. 6 a akreditovaných prevádzkovateľov alebo sprostredkovateľov usadených v tretích krajinách podľa článku 42 ods. 7;

p)	spresňuje požiadavky uvedené v článku 43 ods. 3 na účely akreditácie certifikačných subjektov podľa článku 42;

q)	poskytuje Komisii stanovisko týkajúce sa požiadaviek na certifikáciu podľa článku 43 ods. 8;

r)	poskytuje Komisii stanovisko k ikonám podľa článku 12 ods. 7;

poskytuje Komisii stanovisko, v ktorom sa posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj to, či tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo medzinárodná organizácia už nezabezpečujú primeranú úroveň ochrany. Na tento účel Komisia poskytne výboru všetku potrebnú dokumentáciu vrátane korešpondencie s vládou tretej krajiny, vo vzťahu k danej tretej krajine, územiu alebo určenému sektora alebo s medzinárodnou organizáciou;

t)	vydáva stanoviská k návrhom rozhodnutí dozorných orgánov v rámci mechanizmu konzistentnosti podľa článku 64 ods. 1, k záležitostiam predloženým podľa článku 64 ods. 2 a vydáva záväzné rozhodnutia podľa článku 65 vrátane prípadov uvedených v článku 66;

u)	podporuje spoluprácu a účinnú dvojstrannú a mnohostrannú výmenu informácií a najlepších postupov medzi dozornými orgánmi;

v)	podporuje spoločné programy odborného vzdelávania a uľahčuje výmeny zamestnancov medzi dozornými orgánmi a podľa potreby aj s dozornými orgánmi tretích krajín či s medzinárodnými organizáciami;

w)	podporuje výmenu poznatkov a dokumentácie s dozornými orgánmi pre ochranu údajov z celého sveta, pokiaľ ide o právne predpisy na ochranu údajov a prax v tejto oblasti;

x)	poskytuje stanoviská ku kódexom správania navrhnutým na úrovni Únie podľa článku 40 ods. 9; a

y)	vedie verejne dostupný elektronický register rozhodnutí dozorných orgánov a súdov v otázkach, ktoré sa riešia prostredníctvom mechanizmu konzistentnosti.

2. Ak Komisia požiada výbor o radu, môže uviesť lehotu, pričom zohľadní naliehavosť danej záležitosti.

3. Výbor zasiela svoje stanoviská, usmernenia, odporúčania a najlepšie postupy Komisii a výboru uvedenému v článku 93 a zverejňuje ich.

4. Výbor podľa potreby konzultuje so zainteresovanými stranami a poskytuje im príležitosť predložiť v primeranej lehote pripomienky. Bez toho, aby bol dotknutý článok 76, výbor zverejní výsledky konzultačného postupu.

whereas

(7) Tento vývoj si vyžaduje silný a súdržnejší rámec ochrany údajov v Únii, ktorý sa bude intenzívne presadzovať vzhľadom na význam vybudovania dôvery, ktorá umožní rozvoj digitálnej ekonomiky v rámci vnútorného trhu.
Fyzické osoby by mali mať kontrolu nad svojimi vlastnými osobnými údajmi.
Mala by sa posilniť právna a praktická istota pre fyzické osoby, hospodárske subjekty a orgány verejnej moci.

- = -

(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.

- = -

(13) S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov.
Riadne fungovanie vnútorného trhu si vyžaduje, aby voľný pohyb osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.
S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov toto nariadenie obsahuje výnimku pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov.
Okrem toho sa inštitúcie a orgány Únie a členské štáty a ich dozorné orgány nabádajú k tomu, aby pri uplatňovaní tohto nariadenia zohľadňovali osobitné potreby mikropodnikov a malých a stredných podnikov.
Pokiaľ ide o vymedzenie pojmu mikropodniky a malé a stredné podniky, malo by sa vychádzať z článku 2 prílohy k odporúčaniu Komisie 2003/361/ES (5).

- = -

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé.
Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať.
Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah.
Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.
Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

- = -

(45) Ak sa spracúvanie vykonáva v súlade so zákonnými povinnosťami, ktoré má prevádzkovateľ, alebo ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo z úradnej moci, základ pre spracúvanie by mal existovať v práve Únie alebo v práve členského štátu.
Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis.
Za dostatočný možno považovať právny predpis, ktorý je základom pre viaceré spracovateľské operácie založené na zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa, alebo ak je spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci.
Na základe práva Únie alebo práva členského štátu by sa tiež malo rozhodovať o účele spracúvania.
Okrem toho by toto právo mohlo spresniť všeobecné podmienky tohto nariadenia, ktoré sa týkajú zákonnosti spracúvania osobných údajov, stanoviť špecifikácie na určenie prevádzkovateľa, typu osobných údajov, ktoré podliehajú spracúvaniu, príslušných dotknutých osôb, subjektov, ktorým môžu byť osobné údaje poskytnuté, obmedzenia účelu, doby uchovávania a iných opatrení s cieľom zabezpečiť zákonné a spravodlivé spracúvanie.
V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.

- = -

(50) Spracúvanie osobných údajov na iné účely ako na účely, na ktoré boli osobné údaje pôvodne získané, by malo byť umožnené len vtedy, ak je toto spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne získané.
V takom prípade sa nevyžaduje žiadny iný samostatný právny základ, než je právny základ, ktorý umožňoval získavanie osobných údajov.
Ak je spracúvanie potrebné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, v práve Únie alebo v práve členského štátu sa môžu stanoviť a upraviť úlohy a účely, v prípade ktorých by sa malo ďalšie spracúvanie považovať za zlučiteľné a zákonné. Ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého či historického výskumu alebo štatistické účely by sa malo považovať za zlučiteľné so zákonnými spracovateľskými operáciami.
Právny základ pre spracúvanie osobných údajov, ktorý je zakotvený v práve Únie alebo v práve členského štátu, môže byť aj právnym základom pre ďalšie spracúvanie.
S cieľom zistiť, či je účel ďalšieho spracúvania v súlade s účelom, na ktorý boli osobné údaje pôvodne získané, by mal prevádzkovateľ po splnení všetkých požiadaviek zákonnosti pôvodného spracúvania zohľadniť okrem iného akékoľvek prepojenie medzi týmito účelmi a účelmi zamýšľaného ďalšieho spracúvania; kontext, v ktorom sa osobné údaje získali, najmä primerané očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie; povahu osobných údajov; následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby; a existenciu primeraných záruk v pôvodných aj zamýšľaných operáciách ďalšieho spracúvania.

- = -

(56) Ak si počas volebných aktivít fungovanie demokratického systému v niektorom členskom štáte vyžaduje, aby politické strany zhromažďovali osobné údaje o politických názoroch ľudí, môže byť spracúvanie takýchto údajov povolené z dôvodov verejného záujmu, a to za predpokladu, že sú poskytnuté primerané záruky.

- = -

(58) Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné.
Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla.
Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely.
Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, by mali byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.

- = -

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky.
Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov.
Zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

- = -

(79) Ochrana práv a slobôd dotknutých osôb, ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov, a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich opatreniami, si vyžaduje jasné rozdelenie povinností podľa tohto nariadenia vrátane prípadov, v ktorých prevádzkovateľ určuje účely a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene prevádzkovateľa.

- = -

(80) Ak prevádzkovateľ alebo sprostredkovateľ, ktorý nie je usadený v Únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, pričom jeho spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Únii, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Únii, prevádzkovateľ alebo sprostredkovateľ by mal určiť zástupcu okrem prípadov, keď spracúvanie, ktoré vykonáva, je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.
Zástupca by mal konať v mene prevádzkovateľa alebo sprostredkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán.
Zástupca by mal byť výslovne určený písomným poverením prevádzkovateľa alebo sprostredkovateľa, aby konal v jeho mene v súvislosti s jeho povinnosťami podľa tohto nariadenia.
Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto nariadenia.
Takýto zástupca by mal vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa a ktoré zahŕňa spoluprácu s príslušnými dozornými orgánmi v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto nariadením.
V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca by mal podliehať konaniam na presadenie práva.

- = -

(91) Tento postup by sa mal uplatniť najmä pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva a slobody dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva.
Posúdenie vplyvu na ochranu údajov by sa malo vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach.
Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak sa príslušný dozorný orgán domnieva, že spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu.
Spracúvanie osobných údajov by sa nemalo považovať za spracúvanie veľkého rozsahu, ak sa týka osobných údajov pacientov alebo klientov jednotlivým lekárom, iným zdravotníckym pracovníkom alebo právnikom.
V takýchto prípadoch by posúdenie vplyvu na ochranu údajov nemalo byť povinné.

- = -

(115) Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov.
To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom.
Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Úniou v tomto nariadení.
Prenosy by mali byť povolené, len ak sa splniapodmienky uvedené v tomto nariadení pre prenosy do tretích krajín.
Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu uznaného v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha.

- = -

(141) Každá dotknutá osoba by mala mať právo podať sťažnosť na jednom dozornom orgáne, a to predovšetkým v členskom štáte svojho obvyklého pobytu, a mať v súlade s článkom 47 Charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že boli porušené jej práva podľa tohto nariadenia, alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom rozsahu ju odmietne, nevyhovie jej alebo nekoná v prípade, keď je takéto konanie nevyhnutné na ochranu práv dotknutej osoby.
Vyšetrovanie na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad.
Dozorný orgán by mal dotknutú osobu v primeranej lehote informovať o pokroku pri vybavovaní sťažnosti a o výsledku sťažnosti.
Ak si vec vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali poskytnúť priebežné informácie.
Na účely uľahčenia podávania sťažností by mal každý dozorný orgán prijať opatrenia, ako napríklad poskytnúť formulár sťažnosti, ktorý je možné vyplniť aj elektronicky, nevylučujúc pritom iné prostriedky komunikácie.

- = -

(169) Komisia by mala prijať okamžite uplatniteľné vykonávacie akty, ak je z dostupných dôkazov zrejmé, že daná tretia krajina, územie alebo určený sektor v tretej krajine či medzinárodná organizácia nezaručujú primeranú úroveň ochrany, a prijatie takýchto aktov sa vyžaduje z vážnych a naliehavých dôvodov.

- = -

dal 2004 diritto e informatica