interactive GDPR 2016/0679 SK

b)	spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;

c)	spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;

d)	spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;

e)	spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;

f)	spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

2. Členské štáty môžu zachovať alebo zaviesť špecifickejšie ustanovenia s cieľom prispôsobiť uplatňovanie pravidiel tohto nariadenia s ohľadom na spracúvanie v súlade s odsekom 1 písm. c) a e), a to presnejším stanovením osobitných požiadaviek na spracúvanie a stanovením ďalších opatrení, ktorými sa zaistí zákonné a spravodlivé spracúvanie, vrátane požiadaviek na iné osobitné situácie spracúvania stanovené v kapitole IX.

3. Základ pre spracúvanie uvedené v odseku 1 písm. c) a e) musí byť stanovený:

a)	v práve Únie alebo

b)	v práve členského štátu vzťahujúcom sa na prevádzkovateľa.

Účel spracúvania sa stanoví v tomto právnom základe, alebo pokiaľ ide o spracúvanie uvedené v odseku 1 písm. e), spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Uvedený právny základ môže obsahovať osobitné ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, vrátane: všeobecných podmienok vzťahujúcich sa na zákonnosť spracúvania prevádzkovateľom; typov spracúvaných údajov; dotknutých osôb; subjektov, ktorým sa môžu osobné údaje poskytnúť, a účely, na ktoré ich možno poskytnúť; obmedzenia účelu; doby uchovávania; a spracovateľských operácií a postupov vrátane opatrení na zabezpečenie zákonného a spravodlivého spracúvania, ako napríklad tie na iné osobitné situácie spracúvania, ako sú stanovené v kapitole IX. Právo Únie alebo právo členského štátu musí spĺňať cieľ verejného záujmu a byť primerané sledovanému oprávnenému cieľu.

4. Ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

a)	akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;

b)	okolnosti, za akých sa osobné údaje získali, najmä týkajúce sa vzťahu medzi dotknutými osobami a prevádzkovateľom;

c)	povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa článku 9 alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10;

d)	možné následky zamýšľaného ďalšieho spracúvania pre dotknuté osoby;

e)	existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Článok 9

Spracúvanie osobitných kategórií osobných údajov

1. Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2. Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

a)	dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;

spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;

c)	spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;

spracúvanie vykonáva v rámci svojej zákonnej činnosti s primeranými zárukami nadácia, združenie alebo akýkoľvek iný neziskový subjekt s politickým, filozofickým, náboženským alebo odborárskym zameraním a pod podmienkou, že spracúvanie sa týka výlučne členov alebo bývalých členov subjektu alebo osôb, ktoré majú pravidelný kontakt s ním v súvislosti s jeho cieľmi, a že bez súhlasu dotknutej osoby sa osobné údaje neposkytnú mimo tohto subjektu;

e)	spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila;

f)	spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo kedykoľvek, keď súdy vykonávajú svoju súdnu právomoc;

spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;

spracúvanie je nevyhnutné na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3;

spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;

spracúvanie je nevyhnutné na účely archivácie vo verejnom záujme, alebo na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1 na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a určujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.

3. Osobné údaje uvedené v odseku 1 sa môžu spracúvať na účely uvedené v odseku 2 písm. h), ak tieto údaje spracúva odborník, alebo ak sa spracúvajú v rámci zodpovednosti odborníka, ktorý podlieha povinnosti zachovávať profesijné tajomstvo podľa práva Únie alebo práva členského štátu alebo podľa pravidiel, ktoré stanovili príslušné vnútroštátne orgány, alebo ak údaje spracúva iná osoba, ktorá tiež podlieha povinnosti mlčanlivosti podľa práva Únie alebo práva členského štátu alebo pravidiel, ktoré stanovili príslušné vnútroštátne orgány.

4. Členské štáty môžu zachovať alebo zaviesť ďalšie podmienky vrátane obmedzení týkajúce sa spracúvania genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia.

Článok 13

Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby

1. V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií, ktoré sa uvádzajú v odseku 1, prevádzkovateľ poskytne dotknutej osobe pri získavaní osobných údajov tieto ďalšie informácie, ktoré sú potrebné na zabezpečenie spravodlivého a transparentného spracúvania:

a)	doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

b)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

c)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

d)	právo podať sťažnosť dozornému orgánu;

e)	informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;

f)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a ďalšie relevantné informácie uvedené v odseku 2.

4. Odseky 1, 2 a 3 sa neuplatňujú v rozsahu, v akom dotknutá osoba už má dané informácie.

Článok 14

Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby

1. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:

a)	totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;

b)	kontaktné údaje prípadnej zodpovednej osoby;

c)	účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;

d)	kategórie dotknutých osobných údajov;

e)	príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;

v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii a informácia o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v článku 49 ods. 1 druhom pododseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

2. Okrem informácií uvedených v odseku 1 prevádzkovateľ poskytne dotknutej osobe tieto ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracúvania so zreteľom na dotknutú osobu:

a)	doba uchovávania osobných údajov, alebo ak to nie je možné, kritériá na jej určenie;

b)	ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;

c)	existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;

d)	ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;

e)	právo podať sťažnosť dozornému orgánu;

f)	z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

g)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

3. Prevádzkovateľ poskytne informácie uvedené v odsekoch 1 a 2:

a)	v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú;

b)	ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, najneskôr v čase prvej komunikácie s touto dotknutou osobou; alebo

c)	ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi, najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú.

4. Ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli osobné údaje získané, poskytne dotknutej osobe pred takýmto ďalším spracúvaním informácie o tomto inom účele a akékoľvek ďalšie relevantné informácie uvedené v odseku 2.

5. Odseky 1 až 4 sa neuplatňujú v rozsahu, v akom:

a)	dotknutá osoba má už dané informácie;

sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä v prípade spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, na ktoré sa vzťahujú podmienky a záruky podľa článku 89 ods. 1, alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania. V takých prípadoch prijme prevádzkovateľ vhodné opatrenia na ochranu práv a slobôd a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti;

c)	sa získanie alebo poskytnutie výslovne stanovuje v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a v ktorom sa stanovujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby; alebo

d)	v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva upravenej právom Únie alebo právom členského štátu vrátane povinnosti zachovávať mlčanlivosť vyplývajúcej zo štatútu.

Článok 32

Bezpečnosť spracúvania

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 45

Prenosy na základe rozhodnutia o primeranosti

1. Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné povolenie.

2. Pri posudzovaní primeranosti úrovne ochrany zohľadňuje Komisia najmä tieto skutočnosti:

právny štát, dodržiavanie ľudských práv a základných slobôd, príslušné právne predpisy, a to všeobecné aj odvetvové, vrátane predpisov týkajúcich sa verejnej bezpečnosti, obrany, národnej bezpečnosti a trestného práva a prístupu orgánov verejnej moci k osobným údajom, ako aj vykonávanie takýchto právnych predpisov, pravidiel ochrany údajov, profesijných pravidiel a bezpečnostných opatrení vrátane pravidiel pre následný prenos osobných údajov do ďalšej tretej krajiny alebo medzinárodnej organizácii, ktoré sa v danej tretej krajine alebo medzinárodnej organizácii dodržiavajú, judikatúra, ako aj účinné a vymáhateľné práva dotknutej osoby a účinné správne a súdne prostriedky nápravy pre dotknuté osoby, ktorých osobné údaje sa prenášajú;

existencia a účinné pôsobenie jedného či viacerých nezávislých dozorných orgánov v predmetnej tretej krajine, alebo ktorému podlieha medzinárodná organizácia, so zodpovednosťou za zabezpečenie a presadzovanie dodržiavania pravidiel ochrany údajov vrátane primeraných právomocí pre presadzovanie práva, za poskytovanie pomoci a poradenstva dotknutým osobám pri výkone ich práv a za spoluprácu s dozornými orgánmi členských štátov; a

c)	medzinárodné záväzky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia prevzala, alebo iné záväzky vyplývajúce z právne záväzných dohovorov alebo nástrojov, ako aj z jej účasti na viacstranných alebo regionálnych systémoch, najmä vo vzťahu k ochrane osobných údajov.

3. Komisia môže po posúdení primeranosti úrovne ochrany rozhodnúť prostredníctvom vykonávacieho aktu, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku. Vo vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, ktoré sa uskutočňuje najmenej raz za štyri roky, v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii. Vo vykonávacom akte sa uvedie rozsah jeho územnej a sektorovej pôsobnosti a v príslušných prípadoch aj dozorný orgán alebo dozorné orgány uvedené v odseku 2 písm. b) tohto článku. Vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

4. Komisia priebežne monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť pôsobenie rozhodnutí prijatých podľa odseku 3 tohto článku a rozhodnutí prijatých na základe článku 25 ods. 6 smernice 95/46/ES.

5. Komisia na základe dostupných informácií, najmä v nadväznosti na preskúmanie uvedené v odseku 3 tohto článku, rozhodne, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany v zmysle odseku 2 tohto článku, v potrebnom rozsahu prostredníctvom vykonávacích aktov bez retroaktívneho účinku zruší, zmení alebo pozastaví rozhodnutie uvedené v odseku 3 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Komisia prijme z riadne odôvodnených vážnych a naliehavých dôvodov okamžite uplatniteľné vykonávacie akty v súlade s postupom uvedeným v článku 93 ods. 3.

6. Komisia začne konzultácie s treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť stav, ktorý viedol k rozhodnutiu prijatému podľa odseku 5.

7. Rozhodnutím podľa odseku 5 tohto článku nie sú dotknuté prenosy osobných údajov do tretej krajiny, územia alebo jedného či viacerých určených sektorov v danej tretej krajine alebo príslušnej medzinárodnej organizácii podľa článkov 46 až 49.

8. Komisia uverejnení v Úradnom vestníku Európskej únie a na svojom webovom sídle zoznam tretích krajín, území a určených sektorov v danej tretej krajine a medzinárodných organizácií, v prípade ktorých rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná úroveň ochrany zaručená.

9. Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 3 alebo 5 tohto článku.

Článok 47

Záväzné vnútropodnikové pravidlá

1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)	sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)	sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)	spĺňajú požiadavky stanovené v odseku 2.

2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)	štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)	prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)	ich právna záväznosť, a to vnútorne a navonok;

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)	spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)	postupy týkajúce sa sťažností;

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)	mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)	mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)	primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 51

Dozorný orgán

1. Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len „dozorný orgán“).

2. Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s Komisiou v súlade s kapitolou VII.

3. Ak je v členskom štáte zriadený viac než jeden dozorný orgán, tento členský štát určí dozorný orgán, ktorý má zastupovať uvedené orgány vo výbore, a stanoví mechanizmus na zabezpečenie súladu zo strany ostatných orgánov s pravidlami týkajúcimi sa mechanizmu konzistentnosti uvedeného v článku 63.

4. Každý členský štát oznámi Komisii ustanovenia svojho práva, ktoré prijme podľa tejto kapitoly, do 25. mája 2018 a bezodkladne oznámi všetky následné zmeny, ktoré sa týkajú týchto ustanovení.

Článok 60

Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi

1. Vedúci dozorný orgán spolupracuje s inými dotknutými dozornými orgánmi v súlade s týmto článkom a s cieľom dosiahnuť konsenzus. Vedúci dozorný orgán a dotknuté dozorné orgány si navzájom vymieňajú všetky relevantné informácie.

2. Vedúci dozorný orgán môže kedykoľvek požiadať iné dotknuté dozorné orgány, aby mu poskytli vzájomnú pomoc podľa článku 61, a môže uskutočniť spoločné operácie podľa článku 62, najmä na účely vykonania vyšetrovania alebo monitorovania vykonávania opatrenia, ktoré sa týka prevádzkovateľa alebo sprostredkovateľa usadeného v inom členskom štáte.

3. Vedúci dozorný orgán bezodkladne oznámi relevantné informácie týkajúce sa veci iným dotknutým dozorným orgánom. Bezodkladne predloží iným dotknutým dozorným orgánom návrh rozhodnutia, aby sa k nemu vyjadrili a aby sa náležite zohľadnili ich stanoviská.

4. Ak ktorýkoľvek z iných dotknutých dozorných orgánov podá v lehote štyroch týždňov odo dňa, kedy bol v súlade s odsekom 3 tohto článku konzultovaný, relevantnú a odôvodnenú námietku k návrhu rozhodnutia, vedúci dozorný orgán, ak s relevantnou a odôvodnenou námietkou nesúhlasí alebo sa domnieva, že námietka je nerelevantná alebo neodôvodnená, predloží záležitosť mechanizmu konzistentnosti uvedenému v článku 63.

5. Ak má vedúci dozorný orgán v úmysle podanej relevantnej a odôvodnenej námietke vyhovieť, predloží iným dotknutým dozorným orgánom revidovaný návrh rozhodnutia na účely vyjadrenia stanoviska. Tento revidovaný návrh rozhodnutia podlieha postupu uvedenému v odseku 4 v lehote dvoch týždňov.

6. Ak voči návrhu rozhodnutia, ktorý predložil vedúci dozorný orgán, nenamietal v lehote uvedenej v odsekoch 4 a 5 žiadny z iných dotknutých dozorných orgánov, platí, že vedúci dozorný orgán a dotknuté dozorné orgány s týmto návrhom rozhodnutia súhlasia a tento návrh rozhodnutia sa pre ne stáva záväzným.

7. Vedúci dozorný orgán rozhodnutie prijme a oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa, prípadne sprostredkovateľa, a o danom rozhodnutí vrátane zhrnutia relevantných faktov a dôvodov informuje iné dotknuté dozorné orgány a výbor. Dozorný orgán, na ktorom sa sťažnosť podala, informuje sťažovateľa o rozhodnutí.

8. Odchylne od odseku 7, ak sa sťažnosť odmietne alebo sa jej nevyhovie, dozorný orgán, na ktorom sa sťažnosť podala, prijme rozhodnutie, oznámi ho sťažovateľovi a informuje prevádzkovateľa.

9. Ak sa vedúci dozorný orgán a dotknuté dozorné orgány dohodnú na tom, že sa časti sťažnosti odmietnu alebo sa im nevyhovie a v súvislosti s inými časťami sťažnosti sa bude konať, pre každú z týchto častí danej veci sa prijme samostatné rozhodnutie. Vedúci dozorný orgán prijme rozhodnutie pre časť týkajúcu sa opatrení vzťahujúcich sa na prevádzkovateľa, oznámi ho hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa na území svojho členského štátu a informuje o tom sťažovateľa, zatiaľ čo dozorný orgán sťažovateľa prijme rozhodnutie pre časť týkajúcu sa odmietnutia danej sťažnosti alebo jej nevyhoveniu a oznámi toto rozhodnutie sťažovateľovi a informuje o tom prevádzkovateľa alebo sprostredkovateľa.

10. Po tom, ako im je oznámené rozhodnutie vedúceho dozorného orgánu podľa odsekov 7 a 9, prevádzkovateľ alebo sprostredkovateľ prijmú potrebné opatrenia na zabezpečenie súladu s rozhodnutím, pokiaľ ide o spracovateľské činnosti v súvislosti so všetkými svojimi prevádzkarňami v Únii. Prevádzkovateľ alebo sprostredkovateľ oznámia opatrenia prijaté na dodržanie rozhodnutia vedúceho dozornému orgánu, ktorý o tom informuje iné dotknuté dozorné orgány.

11. Ak má dotknutý dozorný orgán vo výnimočných prípadoch dôvody domnievať sa, že je naliehavo potrebné konať v záujme ochrany záujmov dotknutých osôb, uplatňuje sa postup pre naliehavé prípady uvedený v článku 66.

12. Vedúci dozorný orgán a iné dotknuté dozorné orgány si navzájom v elektronickej forme a s použitím štandardizovaného formátu poskytujú informácie, ktoré sa požadujú v rámci tohto článku.

Článok 84

Sankcie

1. Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.

2. Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa týchto ustanovení týkajú.

KAPITOLA IX

Ustanovenia o osobitných situáciách spracúvania

Článok 88

Spracúvanie v súvislosti so zamestnaním

1. Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2. Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.

3. Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

whereas

(11) Účinná ochrana osobných údajov v rámci celej Únie si vyžaduje posilnenie a spresnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch.

- = -

(29) V záujme vytvorenia stimulov na používanie pseudonymizácie pri spracúvaní osobných údajov by sa mali pri súčasnom umožnení všeobecnej analýzy umožniť opatrenia na pseudonymizáciu v rámci toho istého prevádzkovateľa v prípade, že daný prevádzkovateľ prijal technické a organizačné opatrenia potrebné na zabezpečenie vykonania tohto nariadenia vo vzťahu k danému spracúvaniu, a na zabezpečenie toho, že sa dodatočné informácie na priradenie osobných údajov konkrétnej dotknutej osobe uchovávajú oddelene.
Prevádzkovateľ, ktorý spracúva osobné údaje, by mal určiť oprávnené osoby v rámci toho istého prevádzkovateľa.

- = -

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé.
Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať.
Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah.
Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.
Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

- = -

(80) Ak prevádzkovateľ alebo sprostredkovateľ, ktorý nie je usadený v Únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, pričom jeho spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Únii, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Únii, prevádzkovateľ alebo sprostredkovateľ by mal určiť zástupcu okrem prípadov, keď spracúvanie, ktoré vykonáva, je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že povedie k riziku pre práva a slobody fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom.
Zástupca by mal konať v mene prevádzkovateľa alebo sprostredkovateľa a môže sa na neho obracať ktorýkoľvek dozorný orgán.
Zástupca by mal byť výslovne určený písomným poverením prevádzkovateľa alebo sprostredkovateľa, aby konal v jeho mene v súvislosti s jeho povinnosťami podľa tohto nariadenia.
Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto nariadenia.
Takýto zástupca by mal vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa a ktoré zahŕňa spoluprácu s príslušnými dozornými orgánmi v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto nariadením.
V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca by mal podliehať konaniam na presadenie práva.

- = -

(90) V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika.
Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

- = -

(110) Skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti by mala byť schopná uplatňovať schválené záväzné vnútropodnikové pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, pokiaľ takéto vnútropodnikové pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.

- = -

(119) Ak členský štát zriadi viacero dozorných orgánov, mal by v právnych predpisoch stanoviť mechanizmy na zabezpečenie efektívnej účasti týchto dozorných orgánov na mechanizme konzistentnosti.
Takýto členský štát by mal najmä určiť dozorný orgán, ktorý bude fungovať ako jediné kontaktné miesto pre efektívnu účasť týchto orgánov na uvedenom mechanizme, s cieľom zabezpečiť rýchlu a bezproblémovú spoluprácu s ostatnými dozornými orgánmi, výborom a Komisiou.

- = -

(126) Na rozhodnutí by sa mali spoločne dohodnúť vedúci dozorný orgán a dotknuté dozorné orgány, pričom toto rozhodnutie by malo byť adresované hlavnej prevádzkarni alebo jedinej prevádzkarni prevádzkovateľa alebo sprostredkovateľa a malo by byť pre prevádzkovateľa a sprostredkovateľa záväzné.
Prevádzkovateľ alebo sprostredkovateľ by mali prijať opatrenia potrebné na zabezpečenie súladu s týmto nariadením a vykonania rozhodnutia, ktoré vedúci dozorný orgán oznámil hlavnej prevádzkarni prevádzkovateľa alebo sprostredkovateľa, pokiaľ ide o spracovateľské činnosti v Únii.

- = -

(129) S cieľom zabezpečiť konzistentné monitorovanie a presadzovanie tohto nariadenia v celej Únii by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy a účinné právomoci vrátane právomocí v oblasti vyšetrovania, nápravných opatrení a sankcií a právomocí v oblasti povoľovania a poradenstva, najmä v prípadoch sťažností fyzických osôb, a bez toho, aby boli dotknuté právomoci vyšetrovacích orgánov podľa práva členského štátu, právo upozorniť justičné orgány na porušovanie tohto nariadenia a zúčastniť sa na súdnom konaní.
Takéto právomoci by mali tiež zahŕňať právomoc nariadiť dočasné alebo trvalé obmedzenie spracúvania, vrátane zákazu spracúvania. Členské štáty môžu určiť ďalšie úlohy súvisiace s ochranou osobných údajov podľa tohto nariadenia.
Právomoci dozorných orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami stanovenými v práve Únie a v práve členského štátu, nestranne, spravodlivo a v primeranej lehote.
Predovšetkým by každé opatrenie malo byť vhodné, potrebné a primerané vzhľadom na zabezpečenie súladu s týmto nariadením, berúc do úvahy okolnosti každého konkrétneho prípadu, malo by rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek individuálneho opatrenia, ktoré by pre ňu mohlo mať nepriaznivé dôsledky, a nemalo by dotknutým osobám spôsobovať zbytočné náklady a neprimerané ťažkosti.
Vyšetrovacie právomoci týkajúce sa prístupu do priestorov, by sa mali uplatňovať v súlade s osobitnými požiadavkami stanovenými v procesnom práve členského štátu, ako je napríklad požiadavka získania predchádzajúceho súdneho povolenia.
Každé právne záväzné opatrenie dozorného orgánu by malo byť v písomnej podobe, malo by byť jasné a jednoznačné, mal by sa v ňom uvádzať dozorný orgán, ktorý ho vydal, dátum jeho vydania, podpis vedúceho alebo ním povereného člena dozorného orgánu, odôvodnenie opatrenia a poučenie o práve na účinný prostriedok nápravy.
To by nemalo vylučovať ďalšie požiadavky podľa procesného práva členského štátu.
Z prijatia právne záväzného rozhodnutia vyplýva, že môže viesť k súdnemu preskúmaniu v členskom štáte dozorného orgánu, ktorý rozhodnutie prijal.

- = -

(150) S cieľom posilniť a harmonizovať správne sankcie za porušovanie tohto nariadenia by každý dozorný orgán mal mať právomoc ukladať správne pokuty.
V tomto nariadení by sa mali uviesť porušenia a horná hranica príslušných správnych pokút a kritériá ich stanovenia, ktoré by mal určiť príslušný dozorný orgán v každom jednotlivom prípade, pričom zohľadní všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie.
Keď sa správne pokuty ukladajú podniku, podnik by sa mal na tieto účely považovať za podnik v súlade s článkami 101 a 102 ZFEÚ.
Ak sa správne pokuty ukladajú osobám, ktoré nie sú podnikom, dozorný orgán by mal pri rozhodovaní o primeranej výške pokuty zohľadniť všeobecnú úroveň príjmov v členskom štáte, ako aj majetkové pomery danej osoby.
Na podporu konzistentného uplatňovania správnych pokút sa môže využiť aj mechanizmus konzistentnosti. Členské štáty by mali rozhodnúť, či orgány verejnej moci budú podliehať správnym pokutám a do akej miery.
Uložením správnej pokuty alebo varovaním nie je dotknuté uplatňovanie iných právomocí dozorných orgánov alebo iné sankcie podľa tohto nariadenia.

- = -

(162) Keď sa osobné údaje spracúvajú na štatistické účely, toto nariadenie by sa malo uplatňovať na takéto spracúvanie.
Právom Únie alebo právom členského štátu by sa v medziach tohto nariadenia mal stanoviť štatistický obsah, kontrola prístupu, špecifikácie pre spracúvanie osobných údajov na štatistické účely a vhodné opatrenia na ochranu práv a slobôd dotknutej osoby a na zabezpečenie dôvernosti štatistických údajov. Štatistické účely znamenajú akékoľvek operácie získavania a spracúvania osobných údajov potrebné na štatistické zisťovanie alebo tvorbu štatistických výsledkov.
Tieto štatistické výsledky sa môžu ďalej využívať na rôzne účely vrátane na účely vedeckého výskumu. Štatistický účel znamená, že výsledky spracúvania na štatistické účely nie sú osobnými údajmi, ale agregovanými údajmi, a teda že sa tento výsledok alebo osobné údaje nepoužijú na vykonanie opatrení alebo rozhodnutí týkajúcich sa akejkoľvek konkrétnej fyzickej osoby.

- = -

(166) S cieľom splniť ciele tohto nariadenia, a to ochranu základných práv a slobôd fyzických osôb a najmä ich právo na ochranu osobných údajov a zabezpečenie voľného pohybu osobných údajov v rámci Únie by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ.
Najmä by sa mali prijať delegované akty týkajúce sa kritérií a požiadaviek vzťahujúcich sa na certifikačné mechanizmy, informácií, ktoré sa majú uvádzať vo forme štandardizovaných ikon, a postupov pri uvádzaní takýchto ikon.
Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov.
Pri príprave a vypracúvaní delegovaných aktov by Komisia mala zabezpečiť, aby sa príslušné dokumenty súčasne, vo vhodnom čase a vhodným spôsobom postúpili Európskemu parlamentu a Rade.

- = -

dal 2004 diritto e informatica