interactive GDPR 2016/0679 SK

1. S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

2. Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

3. Dodržiavanie schválených kódexov správania uvedených v článku 40 alebo schválených certifikačných mechanizmov uvedených v článku 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.

Článok 32

Bezpečnosť spracúvania

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

a)	pseudonymizáciu a šifrovanie osobných údajov;

b)	schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

c)	schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

d)	proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 46

Prenosy vyžadujúce primerané záruky

1. Ak neexistuje rozhodnutie podľa článku 45 ods. 3, prevádzkovateľ alebo sprostredkovateľ môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky, a za podmienky, že dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky nápravy.

2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

a)	právne záväzného a vykonateľného nástroja medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi;

b)	záväzných vnútropodnikových pravidiel v súlade s článkom 47;

c)	štandardných doložiek o ochrane údajov, ktoré prijala Komisia v súlade s postupom preskúmania uvedeným v článku 93 ods. 2;

d)	štandardných doložiek o ochrane údajov, ktoré prijal dozorný orgán, a ktoré schválila Komisia podľa postupu preskúmania uvedeného v článku 93 ods. 2;

e)	schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

f)	schváleného certifikačného mechanizmu podľa článku 42 spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb.

3. S výhradou povolenia od príslušného dozorného orgánu sa primerané záruky uvedené v odseku 1 môžu tiež zabezpečiť predovšetkým:

a)	zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom osobných údajov v tretej krajine alebo medzinárodnej organizácii, alebo

b)	ustanoveniami, ktoré sa vložia do administratívnych dojednaní medzi orgánmi verejnej moci alebo verejnoprávnymi subjektmi a zahŕňajú vymožiteľné a účinné práva dotknutých osôb.

4. Dozorný orgán uplatňuje mechanizmus konzistentnosti uvedený v článku 63 v prípadoch uvedených v odseku 3 tohto článku.

5. Povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES zostávajú v platnosti, pokým ich tento dozorný orgán podľa potreby nezmení, nenahradí alebo nezruší. Rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES zostávajú v platnosti, pokiaľ ich Komisia podľa potreby nezmení, nenahradí alebo nezruší rozhodnutím prijatým v súlade s odsekom 2 tohto článku.

Článok 47

Záväzné vnútropodnikové pravidlá

1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)	sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)	sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)	spĺňajú požiadavky stanovené v odseku 2.

2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)	štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)	prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)	ich právna záväznosť, a to vnútorne a navonok;

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)	spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)	postupy týkajúce sa sťažností;

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)	mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)	mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)	primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 88

Spracúvanie v súvislosti so zamestnaním

1. Členské štáty môžu prostredníctvom právnych predpisov alebo kolektívnych dohôd stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, najmä na účely prijatia do zamestnania, plnenia pracovnej zmluvy vrátane plnenia povinností vyplývajúcich z právnych predpisov alebo kolektívnych zmlúv, ďalej na účely riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, ochrany zdravia a bezpečnosti pri práci, ochrany majetku zamestnávateľa alebo zákazníka, ako aj na účely uplatňovania a využívania práv a výhod súvisiacich so zamestnaním na individuálnom alebo kolektívnom základe, a na účely ukončenia pracovného pomeru.

2. Uvedené pravidlá zahŕňajú vhodné a osobitné opatrenia na zaistenie ľudskej dôstojnosti, oprávnených záujmov a základných práv dotknutej osoby s osobitným zameraním na transparentnosť spracúvania, prenos osobných údajov v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a systémy monitorovania na pracovisku.

3. Každý členský štát oznámi Komisii do 25. mája 2018 ustanovenia svojich právnych predpisov, ktoré prijme podľa odseku 1, a bezodkladne oznámi aj všetky následné zmeny, ktoré sa ich týkajú.

Článok 96

Vzťah k dohodám uzavretým v minulosti

Medzinárodné dohody, ktoré zahŕňajú prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám, ktoré uzavreli členské štáty pred 24. májom 2016 a ktoré sú v súlade s právom Únie uplatniteľným pred uvedeným dátumom, zostávajú v platnosti až do ich zmeny, nahradenia alebo zrušenia.

whereas

(35) Osobné údaje týkajúce sa zdravia by mali zahŕňať všetky údaje týkajúce sa zdravotného stavu dotknutej osoby, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby.
zahŕňajú aj informácie o fyzickej osobe získané pri registrácii na účely poskytovania služieb zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ (9); číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely; informácie získané na základe vykonania testov alebo prehliadok častí organizmu alebo telesných látok vrátane genetických údajov a biologických vzoriek; a akékoľvek informácie, napríklad o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej pomôcky alebo z vykonania diagnostického testu in vitro.

- = -

(84) S cieľom posilniť súlad s týmto nariadením, ak je pravdepodobné, že spracovateľské operácie povedú k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ by mal byť zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom zhodnotiť najmä pôvod, povahu, osobitosť a závažnosť tohto rizika.
Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s týmto nariadením.
Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom.

- = -

(102) Toto nariadenie sa nedotýka medzinárodných dohôd uzatvorených medzi Úniou a tretími krajinami, ktoré upravujú prenos osobných údajov a poskytujú náležité záruky pre dotknuté osoby. Členské štáty môžu uzavrieť medzinárodné dohody, ktoré zahŕňajú prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám, pokiaľ takéto dohody neovplyvňujú toto nariadenie alebo akékoľvek iné ustanovenia práva Únie a zahŕňajú primeranú úroveň ochrany základných práv dotknutých osôb.

- = -

(110) Skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti by mala byť schopná uplatňovať schválené záväzné vnútropodnikové pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, pokiaľ takéto vnútropodnikové pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.

- = -

(131) Ak by mal iný dozorný orgán konať ako vedúci dozorný orgán pre spracovateľské činnosti prevádzkovateľa alebo sprostredkovateľa, ale konkrétny predmet sťažnosti alebo možné porušenie sa týka iba spracovateľských činností prevádzkovateľa alebo sprostredkovateľa v členskom štáte, v ktorom sa žiadosť podala, alebo prípadného zisteného porušenia a záležitosť podstatne neovplyvňuje alebo pravdepodobne podstatne neovplyvní dotknuté osoby v iných členských štátoch, by sa mal dozorný orgán, na ktorý je podaná sťažnosť alebo ktorý zistí situácie, ktoré zahŕňajú možné porušenie tohto nariadenia, alebo sa o nich inak dozvie, usilovať o urovnanie sporu s prevádzkovateľom zmierom a v prípade neúspechu vykonávať všetky svoje právomoci.
To by malo zahŕňať špecifické spracúvanie na území členského štátu dozorného orgánu alebo spracúvanie týkajúce sa dotknutých osôb na území tohto členského štátu; spracúvanie, ktoré sa uskutočňuje v kontexte ponuky tovarov alebo služieb špecificky cielených na dotknuté osoby na území členského štátu dozorného orgánu; alebo spracúvanie, ktoré sa musí posúdiť s ohľadom na relevantné zákonné povinnosti podľa práva členského štátu.

- = -

dal 2004 diritto e informatica