interactive GDPR 2016/0679 SK

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 SK jump to: cercato: 'zásad' . Output generated live by software developed by IusOnDemand srl

index zásad:

1 Článok 2 Vecná pôsobnosť

1 Článok 25 Špecificky navrhnutá a štandardná ochrana údajov

1 Článok 44 Všeobecná zásada prenosov

1 Článok 47 Záväzné vnútropodnikové pravidlá

2 Článok 68 Európsky výbor pre ochranu údajov

1 Článok 83 Všeobecné podmienky ukladania správnych pokút

1 Článok 85 Spracúvanie a sloboda prejavu a právo na informácie

1 Článok 89 Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

whereas zásad:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 1311

Článok 2

Vecná pôsobnosť

1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

a)	v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b)	členskými štátmi pri vykonávaní činností patriacich do rozsahu pôsobnosti kapitoly 2 hlavy V ZEÚ;

c)	fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;

d)	príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

3. Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa uplatňuje nariadenie (ES) č. 45/2001. Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie uplatniteľné na takéto spracúvanie osobných údajov sa upravia podľa zásad a pravidiel tohto nariadenia v súlade s článkom 98.

4. Týmto nariadením preto nie je dotknuté uplatňovanie smernice 2000/31/ES, najmä pravidlá týkajúce sa zodpovednosti poskytovateľov služieb informačnej spoločnosti uvedené v článkoch 12 až 15 uvedenej smernice.

Článok 4

Vymedzenie pojmov

Na účely tohto nariadenia:

„osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

„spracúvanie“ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

3.	„obmedzenie spracúvania“ je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

„profilovanie“ je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

„pseudonymizácia“ je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

6.	„informačný systém“ je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

„prevádzkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

8.	„sprostredkovateľ“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

„príjemca“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

10.	„tretia strana“ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

11.	„súhlas dotknutej osoby“ je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

12.	„porušenie ochrany osobných údajov“ je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

13.	„genetické údaje“ sú osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby;

14.

„biometrické údaje“ sú osobné údaje, ktoré sú výsledkom osobitného technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické údaje;

15.	„údaje týkajúce sa zdravia“ sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave;

16.

„hlavná prevádzkareň“ je:

pokiaľ ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii s výnimkou prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala;

pokiaľ ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte, miesto jeho centrálnej správy v Únii, alebo ak sprostredkovateľ nemá centrálnu správu v Únii, prevádzkareň sprostredkovateľa v Únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto nariadenia;

17.	„zástupca“ je fyzická alebo právnická osoba usadená v Únii, ktorú prevádzkovateľ alebo sprostredkovateľ písomne určil podľa článku 27 a ktorá ho zastupuje, pokiaľ ide o jeho povinnosti podľa tohto nariadenia;

18.	„podnik“ je fyzická alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu vrátane partnerstiev alebo združení, ktoré pravidelne vykonávajú hospodársku činnosť;

19.	„skupina podnikov“ je riadiaci podnik a ním riadené podniky;

20.

„záväzné vnútropodnikové pravidlá“ je politika ochrany osobných údajov, ktorú dodržiava prevádzkovateľ alebo sprostredkovateľ usadený na území členského štátu na účely prenosu alebo súborov prenosov osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v jednej alebo viacerých tretích krajinách v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti;

21.	„dozorný orgán“ je nezávislý orgán verejnej moci zriadený členským štátom podľa článku 51;

22.

„dotknutý dozorný orgán“ je dozorný orgán, ktorého sa spracúvanie osobných údajov týka, pretože:

a)	prevádzkovateľ alebo sprostredkovateľ je usadený na území členského štátu tohto dozorného orgánu;

b)	dotknuté osoby s pobytom v členskom štáte tohto dozorného orgánu sú podstatne ovplyvnené alebo budú pravdepodobne podstatne ovplyvnené spracúvaním; alebo

c)	sťažnosť sa podala na tento dozorný orgán;

23.

„cezhraničné spracúvanie“ je buď:

a)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii v kontexte činností prevádzkarní prevádzkovateľa alebo sprostredkovateľa vo viac ako jednom členskom štáte, pričom prevádzkovateľ alebo sprostredkovateľ sú usadení vo viac ako jednom členskom štáte; alebo

b)	spracúvanie osobných údajov, ktoré sa uskutočňuje v Únii kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, ale ktoré podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte;

24.

„relevantná a odôvodnená námietka“ je námietka voči návrhu rozhodnutia, či došlo k porušeniu tohto nariadenia, alebo či je plánované opatrenie vo vzťahu k prevádzkovateľovi alebo sprostredkovateľovi v súlade s týmto nariadením, ktoré musí jasne preukázať závažnosť rizík, ktoré predstavuje návrh rozhodnutia, pokiaľ ide o základné práva a slobody dotknutých osôb a prípadne voľný pohyb osobných údajov v rámci Únie;

25.	„služba informačnej spoločnosti“ je služba vymedzená v článku 1 bode 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (19);

26.	„medzinárodná organizácia“ je organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody.

KAPITOLA II

zásady

Článok 5

zásady spracúvania osobných údajov

1. Osobné údaje musia byť:

a)	spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe („zákonnosť, spravodlivosť a transparentnosť“);

získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi („obmedzenie účelu“);

c)	primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú („minimalizácia údajov“);

d)	správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia („správnosť“);

uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s článkom 89 ods. 1 za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb („minimalizácia uchovávania“);

f)	spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení („integrita a dôvernosť“).

2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať („zodpovednosť“).

Článok 25

Špecificky navrhnutá a štandardná ochrana údajov

1. So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

2. Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

3. Schválený certifikačný mechanizmus podľa článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

Článok 44

Všeobecná zásada prenosov

Akýkoľvek prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa uskutoční len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky stanovené v tejto kapitole, ako aj ostatné ustanovenia tohto nariadenia vrátane podmienok následných prenosov osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny, alebo inej medzinárodnej organizácii. Všetky ustanovenia v tejto kapitole sa uplatňujú s cieľom zabezpečiť, aby sa neohrozila úroveň ochrany fyzických osôb zaručená týmto nariadením.

Článok 47

Záväzné vnútropodnikové pravidlá

1. Príslušný dozorný orgán schváli záväzné vnútropodnikové pravidlá v súlade s mechanizmom konzistentnosti uvedeným v článku 63, ak:

a)	sú právne záväzné a vzťahujú sa na každého dotknutého člena skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú;

b)	sa nimi výslovne udeľujú vymáhateľné práva dotknutým osobám, pokiaľ ide o spracúvanie ich osobných údajov, a

c)	spĺňajú požiadavky stanovené v odseku 2.

2. V záväzných vnútropodnikových pravidlách uvedených v odseku 1 sa uvedie aspoň:

a)	štruktúra a kontaktné údaje skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a každého z jej členov;

b)	prenosy údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb, ktorých sa spracúvanie týka, a identifikácia predmetnej tretej krajiny alebo krajín;

c)	ich právna záväznosť, a to vnútorne a navonok;

uplatňovanie všeobecných zásad ochrany údajov, najmä obmedzenie účelu, minimalizácia údajov, obmedzené doby uchovávania, kvalita údajov, špecificky navrhnutá a štandardná ochrana údajov, právny základ pre spracúvanie, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané záväznými vnútropodnikovými pravidlami;

práva dotknutých osôb v súvislosti so spracúvaním a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní, vrátane profilovania podľa článku 22, právo podať sťažnosť na príslušný dozorný orgán a na príslušné súdy členských štátov v súlade s článkom 79 a právo vymôcť nápravu a prípadnú náhradu škody za porušenie záväzných vnútropodnikových pravidiel;

vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ usadení na území členského štátu prijímajú zodpovednosť za všetky porušenia záväzných vnútropodnikových pravidiel ktorýmkoľvek dotknutým členom, ktorý nie je usadený v Únii; prevádzkovateľ alebo sprostredkovateľ sú úplne alebo čiastočne oslobodení od tejto zodpovednosti, len ak preukážu, že predmetný člen nie je zodpovedný za udalosť, ktorá spôsobila škodu;

g)	spôsob, akým sa okrem spôsobov podľa článkov 13 a 14 poskytujú dotknutým osobám informácie o záväzných vnútropodnikových pravidlách, najmä pokiaľ ide o ustanovenia, ktoré sa uvádzajú v písmenách d), e) a f) tohto odseku;

úlohy akejkoľvek zodpovednej osoby určenej v súlade s článkom 37 alebo akejkoľvek inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania záväzných vnútropodnikových pravidiel v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností;

i)	postupy týkajúce sa sťažností;

mechanizmy v rámci skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti na zabezpečenie overovania dodržiavania záväzných vnútropodnikových pravidiel. Takéto mechanizmy zahŕňajú audity ochrany údajov a metódy na zabezpečenie nápravných opatrení s cieľom chrániť práva dotknutej osoby. Výsledky takéhoto overovania by sa mali oznámiť osobe alebo subjektu uvedenému v písmene h) a správnej rade riadiaceho podniku skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie by mali byť k dispozícii príslušnému dozornému orgánu;

k)	mechanizmy pre ohlasovanie a zaznamenávanie zmien pravidiel a ohlasovanie týchto zmien dozornému orgánu;

l)	mechanizmus spolupráce s dozorným orgánom na zabezpečenie dodržiavania pravidiel zo strany všetkých členov skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, najmä poskytnutím výsledkov overovania opatrení uvedených v písmene j) dozornému orgánu;

mechanizmy pre ohlasovanie určené príslušnému dozornému orgánu, ktoré sa týka akýchkoľvek právnych požiadaviek, ktorým člen skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé dôsledky na záruky poskytované záväznými vnútropodnikových pravidlami, a

n)	primeraná odborná príprava personálu, ktorý má stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany údajov.

3. Komisia môže stanoviť formát a postupy pre výmenu informácií medzi prevádzkovateľmi, sprostredkovateľmi a dozornými orgánmi pre záväzné vnútropodnikových pravidlá v zmysle tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

Článok 68

Európsky výbor pre ochranu údajov

1. Týmto sa zriaďuje Európsky výbor pre ochranu údajov (ďalej len „výbor“) ako orgán Únie s právnou subjektivitou.

2. Výbor zastupuje jeho predseda.

3. Výbor pozostáva z vedúceho predstaviteľa jedného dozorného orgánu každého členského štátu a európskeho dozorného úradníka pre ochranu údajov, alebo ich zástupcov.

4. Ak v členskom štáte zodpovedá za monitorovanie uplatňovania ustanovení podľa tohto nariadenia viac než jeden dozorný orgán, v súlade s právom tohto členského štátu sa určí ich spoločný zástupca.

5. Komisia má právo zúčastňovať sa na činnosti a zasadnutiach výboru bez hlasovacieho práva. Komisia vymenuje zástupcu. Predseda výboru informuje Komisiu o činnosti výboru.

6. V prípadoch uvedených v článku 65 má európsky dozorný úradník pre ochranu údajov hlasovacie práva len pri rozhodnutiach, ktoré sa týkajú zásad a pravidiel vzťahujúcich sa na inštitúcie, orgány, úrady a agentúry Únie, ktoré svojou podstatou zodpovedajú zásadám a pravidlám tohto nariadenia.

Článok 83

Všeobecné podmienky ukladania správnych pokút

1. Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach uvedených v článku 58 ods. 2 písm. a) až h) a j) alebo namiesto nich. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti:

a)	povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli;

b)	úmyselný alebo nedbanlivostný charakter porušenia;

c)	akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli;

d)	miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali podľa článkov 25 a 32;

e)	akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa;

f)	miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia;

g)	kategórie osobných údajov, ktorých sa porušenie týka;

h)	spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu;

i)	ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia uvedené v článku 58 ods. 2, splnenie uvedených opatrení;

j)	dodržiavanie schválených kódexov správania podľa článku 40 alebo schválených mechanizmov certifikácie podľa článku 42 a

k)	akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3. Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto nariadenia, celková suma správnej pokuty nesmie presiahnuť výšku stanovenú za najzávažnejšie porušenie.

4. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 10 000 000 EUR, alebo v prípade podniku až do výšky 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	povinnosti prevádzkovateľa a sprostredkovateľa podľa článkov 8, 11, 25 až 39 a 42 a 43;

b)	povinnosti certifikačného subjektu podľa článkov 42 a 43;

c)	povinnosti monitorujúceho subjektu podľa článku 41 ods. 4.

5. Za porušenia nasledujúcich ustanovení sa podľa odseku 2 uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia:

a)	základné zásady spracúvania vrátane podmienok súhlasu podľa článkov 5, 6, 7 a 9;

b)	práva dotknutých osôb podľa článkov 12 až 22;

c)	prenos osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa článkov 44 až 49;

d)	akékoľvek povinnosti podľa práva členského štátu prijatého podľa kapitoly IX;

e)	nesplnenie príkazu alebo nedodržanie dočasného alebo definitívneho obmedzenia spracúvania alebo pozastavenia tokov údajov nariadeného dozorným orgánom podľa článku 58 ods. 2, alebo v rozpore s článkom 58 ods. 1 neposkytnutie prístupu.

6. Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

7. Bez toho, aby boli dotknuté nápravné právomoci dozorných orgánov podľa článku 58 ods. 2, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a verejnoprávnym subjektom zriadeným v danom členskom štáte.

8. Výkon právomocí dozorného orgánu podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a právom členského štátu vrátane účinného súdneho prostriedku nápravy a riadneho procesu.

9. Ak sa v právnom systéme členského štátu nestanovujú správne pokuty, tento článok sa môže uplatňovať tak, že uloženie pokuty iniciuje príslušný dozorný orgán a uloží ju príslušný vnútroštátny súd, pričom sa zabezpečí, aby tieto právne prostriedky nápravy boli účinné a mali rovnocenný účinok ako správne pokuty ukladané dozornými orgánmi. Ukladané pokuty musia byť v každom prípade účinné, primerané a odrádzajúce. Uvedené členské štáty oznámia ustanovenia svojich právnych predpisov, ktoré prijmú podľa tohto odseku, Komisii do 25. mája 2018 a bezodkladne oznámia aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.

Článok 85

Spracúvanie a sloboda prejavu a právo na informácie

1. Členské štáty právnymi prepismi zosúladia právo na ochranu osobných údajov podľa tohto nariadenia s právom na slobodu prejavu a právom na informácie vrátane spracúvania na žurnalistické účely a na účely akademickej, umeleckej alebo literárnej tvorby.

2. Pokiaľ ide o spracúvanie vykonávané na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby, členské štáty stanovia výnimky alebo odchýlky z kapitoly II (zásady), kapitoly III (práva dotknutej osoby), kapitoly IV (prevádzkovateľ a sprostredkovateľ), kapitoly V (prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám), kapitoly VI (nezávislé dozorné orgány), kapitoly VII (spolupráca a konzistentnosť) a kapitoly IX (osobitné situácie spracúvania údajov), ak sú potrebné na zosúladenie práva na ochranu osobných údajov so slobodou prejavu a právom na informácie.

3. Každý členský štát oznámi Komisii ustanovenia svojich právnych predpisov, ktoré prijal podľa odseku 2, a bezodkladne oznámi aj všetky následné pozmeňujúce právne predpisy či zmeny, ktoré sa ich týkajú.

Článok 89

Záruky a odchýlky týkajúce sa spracúvania na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely

1. Na spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa v súlade s týmto nariadením vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Uvedenými zárukami sa zaistí zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov. Uvedené opatrenia môžu zahŕňať pseudonymizáciu, pokiaľ sa týmto spôsobom môžu dosiahnuť uvedené účely. Keď sa uvedené účely môžu dosiahnuť ďalším spracúvaním, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknutú osobu, použije sa na dosiahnutie uvedených účelov daný spôsob.

2. Keď sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, v práve Únie alebo v práve členského štátu sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

3. Keď sa osobné údaje spracúvajú na účely archivácie vo verejnom záujme, v práve Únie alebo vo vnútroštátnom práve sa môžu stanoviť odchýlky z práv uvedených v článkoch 15, 16, 18, 19, 20 a 21, pričom sa dodržia podmienky a záruky uvedené v odseku 1 tohto článku, pokiaľ takéto práva pravdepodobne znemožnia alebo závažným spôsobom sťažia dosiahnutie osobitných účelov, a takéto odchýlky sú nevyhnutné na dosiahnutie uvedených účelov.

4. Ak spracúvanie uvedené v odsekoch 2 a 3 slúži súčasne aj na iný účel, odchýlky sa vzťahujú iba na spracúvanie na účely uvedené v uvedených odsekov.

Článok 99

Nadobudnutie účinnosti a uplatňovanie

1. Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2. Uplatňuje sa od 25.mája 2018.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli 27. apríla 2016

Za Európsky parlament

predseda

M. SCHULZ

Za Radu

predsedníčka

J.A. HENNIS-PLASSCHAERT

(1) Ú. v. EÚ C 229, 31.7.2012, s. 90.

(2) Ú. v. EÚ C 391, 18.12.2012, s. 127.

(3) Pozícia Európskeho parlamentu z 12. marca 2014 (zatiaľ neuverejnená v úradnom vestníku) a pozícia Rady v prvom čítaní z 8. apríla 2016 (zatiaľ neuverejnená v úradnom vestníku). Pozícia Európskeho parlamentu zo 14. apríla 2016.

(4) Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 23.11.1995, s. 31).

(5) Odporúčanie Komisie zo 6. mája 2003 o definícii mikropodnikov a malých a stredných podnikov (C(2003) 1422) (Ú. v. EÚ L 124, 20.5.2003, s. 36).

(6) Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov (Ú. v. ES L 8, 12.1.2001, s. 1).

(7) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (pozri stranu 89 tohto úradného vestníka).

(8) Smernica Európskeho parlamentu a Rady 2000/31/ES z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 17.7.2000, s. 1).

(9) Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(10) Smernica Rady 93/13/EHS z 5. apríla 1993 o nekalých podmienkach v spotrebiteľských zmluvách (Ú. v. ES L 95, 21.4.1993, s. 29).

(11) Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci (Ú. v. EÚ L 354, 31.12.2008, s. 70).

(12) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(13) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 1215/2012 z 12. decembra 2012 o právomoci a o uznávaní a výkone rozsudkov v občianskych a obchodných veciach (Ú. v. EÚ L 351, 20.12.2012, s. 1).

(14) Smernica Európskeho parlamentu a Rady 2003/98/ES zo 17. novembra 2003 o opakovanom použití informácií verejného sektora (Ú. v. EÚ L 345, 31.12.2003, s. 90).

(15) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 536/2014 zo 16. apríla 2014 o klinickom skúšaní liekov na humánne použitie, ktorým sa zrušuje smernica 2001/20/ES (Ú. v. EÚ L 158, 27.5.2014, s. 1).

(16) Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31.3.2009, s. 164).

(17) Ú. v. EÚ C 192, 30.6.2012, s. 7.

(18) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(19) Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1).

(20) Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).

(21) Nariadenie Európskeho parlamentu a Rady (ES) č. 1049/2001 z 30. mája 2001 o prístupe verejnosti k dokumentom Európskeho parlamentu, Rady a Komisie (Ú. v. ES L 145, 31.5.2001, s. 43).

whereas

(2) V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov.
Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.

- = -

(4) Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu.
Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality.
Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces, a kultúrna, náboženská a jazyková rozmanitosť.

- = -

(9) Ciele a zásady smernice 95/46/ES zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v Únii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí.
Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii.
Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie.
Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.

- = -

(17) Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 (6).
Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie, ktoré sa vzťahujú na takéto spracúvanie osobných údajov, by sa mali upraviť podľa zásad a pravidiel stanovených v tomto nariadení a uplatňovať so zreteľom na toto nariadenie.
V záujme stanovenia silného a súdržného rámca ochrany údajov v Únii by po prijatí tohto nariadenia mali nasledovať potrebné úpravy nariadenia (ES) č. 45/2001, aby sa začali uplatňovať súčasne s týmto nariadením.

- = -

(26) zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe.
Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby.
Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj.
zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná.
Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

- = -

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé.
Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať.
zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah.
Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.
Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

- = -

(46) Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby.
Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe.
Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

- = -

(48) Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely vrátane spracúvania osobných údajov klientov alebo zamestnancov.
Tým nie sú dotknuté všeobecné zásady prenosu osobných údajov v rámci skupiny podnikov podniku nachádzajúcemu sa v tretej krajine.

- = -

(51) Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká.
Uvedené osobné údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, pričom použitie výrazu „rasový pôvod“ v tomto nariadení neznamená, že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu oddelených ľudských rás.
Spracúvanie fotografií by sa nemalo systematicky považovať za spracúvanie osobitných kategórií osobných údajov, pretože vymedzenie pojmu biometrické údaje sa na ne bude vzťahovať len v prípadoch, keď sa spracúvajú osobitnými technickými prostriedkami, ktoré umožňujú alebo potvrdzujú jedinečnú identifikáciu fyzickej osoby.
Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nie je povolené v osobitných prípadoch stanovených v tomto nariadení, pričom sa zohľadní, že právo členských štátov môže stanoviť osobitné ustanovenia o ochrane údajov, ktorými prispôsobia uplatňovanie pravidiel tohto nariadenia na účely splnenia zákonnej povinnosti alebo úlohy realizovanej vo verejnom záujme či pri výkone verejnej moci zverenej prevádzkovateľovi.
Okrem osobitných požiadaviek na takéto spracúvanie by sa mali uplatňovať všeobecné zásady a iné pravidlá uvedené v tomto nariadení, najmä pokiaľ ide o podmienky pre zákonné spracúvanie.
Výnimky zo všeobecného zákazu spracúvania týchto osobitných kategórií osobných údajov by sa mali výslovne uviesť okrem iného vtedy, ak dotknutá osoba poskytla svoj výslovný súhlas alebo v súvislosti s osobitnými potrebami, najmä ak spracúvanie vykonávajú v rámci legitímnych činností určité združenia alebo nadácie, ktorých účelom je umožniť výkon základných slobôd.

- = -

(58) zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné.
Takéto informácie by sa mohli poskytnúť v elektronickej podobe, napríklad pri oslovení verejnosti prostredníctvom webového sídla.
Týka sa to najmä situácií, ako je napríklad online reklama, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, či osobné údaje, ktoré sa jej týkajú, boli získané, kým a na aké účely.
Keďže deťom prislúcha osobitná ochrana, všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, by mali byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť.

- = -

(60) zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch.
Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania, pričom sa zohľadnia konkrétne okolnosti a kontext, v ktorom sa osobné údaje spracúvajú.
Dotknutá osoba by okrem toho mala byť informovaná o existencii profilovania a následkoch takéhoto profilovania.
Ak sa osobné údaje získavajú od dotknutej osoby, dotknutá osoba by mala byť informovaná aj o tom, či je povinná osobné údaje poskytnúť, a o následkoch v prípade, že tieto údaje neposkytne.
Tieto informácie možno poskytnúť v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľným, zrozumiteľným a čitateľným spôsobom zmysluplný prehľad zamýšľaného spracúvania.
Ak sú ikony uvedené v elektronickej podobe, mali by byť strojovo čitateľné.

- = -

(67) Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať dočasné presunutie vybraných údajov do iného systému spracúvania, zamedzenie prístupu používateľov k vybraným osobným údajom alebo dočasné odstránenie zverejnených údajov z webového sídla.
V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami takým spôsobom, aby osobné údaje neboli predmetom ďalších spracovateľských operácií a nebolo možné ich meniť.
Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala jasne vyznačiť.

- = -

(72) Na profilovanie sa vzťahujú pravidlá stanovené v tomto nariadení upravujúce spracúvanie osobných údajov, ako napríklad právne dôvody spracúvania alebo zásady ochrany údajov.
Európsky výbor pre ochranu údajov, zriadený týmto nariadením (ďalej len „výbor“), by mal mať možnosť vydať v tejto súvislosti usmernenie.

- = -

(73) Právom Únie alebo právom členského štátu sa môžu uložiť obmedzenia týkajúce sa osobitných zásad a práv na informovanie, prístup a opravu alebo vymazanie osobných údajov, práva na prenosnosť údajov, práva namietať, rozhodnutí založených na profilovaní, ako aj informovania dotknutej osoby o porušení ochrany osobných údajov a o určitých súvisiacich povinnostiach prevádzkovateľov, pokiaľ je to v demokratickej spoločnosti potrebné a primerané na zaistenie verejnej bezpečnosti vrátane ochrany ľudského života, najmä v reakcii na prírodné katastrofy alebo katastrofy spôsobené ľudskou činnosťou, predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, alebo vyšetrovania porušovaniu etiky v regulovaných profesiách, ich vyšetrovania a stíhania, alebo iných dôležitých cieľov všeobecného verejného záujmu Únie alebo členského štátu, najmä ak ide o dôležitý hospodársky alebo finančný záujem Únie alebo členského štátu, vedenia verejných registrov vedených vo všeobecnom verejnom záujme, ďalšieho spracúvania archivovaných osobných údajov na účely poskytnutia konkrétnych informácií o politickom správaní počas bývalého totalitného štátneho režimu, alebo ochrany dotknutej osoby alebo práv a slobôd iných vrátane sociálnej ochrany, verejného zdravia a humanitárnych účelov.
Uvedené obmedzenia by mali byť v súlade s požiadavkami stanovenými v Charte a v Európskom dohovore o ochrane ľudských práv a základných slobôd.

- = -

(78) Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na to, aby mohol prevádzkovateľ preukázať súlad s týmto nariadením, by mal prijať interné pravidlá a prijať opatrenia, ktoré budú predovšetkým spĺňať zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov.
Takéto opatrenia by mohli okrem iného pozostávať z minimalizácie spracúvania osobných údajov, čo najskoršej pseudonymizácie osobných údajov, transparentnosti v súvislosti s funkciami a spracúvaním osobných údajov, umožnenia dotknutým osobám monitorovať spracúvanie údajov, umožnenia prevádzkovateľovi vypracovať a zlepšiť bezpečnostné prvky.
Pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, aby splnili svoju úlohu, by sa výrobcovia týchto produktov, služieb a aplikácií mali vyzvať, aby pri vypracovaní a navrhovaní takýchto produktov, služieb a aplikácií zohľadnili právo na ochranu údajov, pričom náležito zohľadnia najnovšie poznatky, aby sa zabezpečilo, že prevádzkovatelia a sprostredkovatelia môžu plniť svoje povinnosti týkajúce sa ochrany údajov.
zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov by sa mali zohľadniť aj v súvislosti s verejným obstarávaním.

- = -

(85) Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby.
Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.
Ak nie je možné oznámenie podať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

- = -

(104) V súlade so základnými hodnotami, na ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by Komisia mala pri posúdení tretej krajiny alebo územia či určeného sektora v tretej krajine zohľadniť skutočnosť, ako príslušná tretia krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti a medzinárodné normy a štandardy v oblasti ľudských práv, ako aj jej všeobecné a odvetvové právo vrátane právnych predpisov týkajúcich sa verejnej bezpečnosti, obrany a národnej bezpečnosti, ako aj verejného poriadku a trestného práva.
Pri prijímaní rozhodnutia o primeranosti týkajúceho sa územia alebo určeného sektora v tretej krajine by sa mali zohľadniť jasné a objektívne kritériá, ako sú napríklad osobitné spracovateľské činnosti a rozsah pôsobnosti uplatniteľných právnych noriem a platných právnych predpisov v tretej krajine.
Tretia krajina by mala poskytnúť záruky, ktorými sa zaistí primeraná úroveň ochrany, ktorá v zásade zodpovedá úrovni zabezpečenej v rámci Únie, najmä ak sa osobné údaje spracúvajú v jednom alebo vo viacerých určených sektoroch.
Tretia krajina by predovšetkým mala zabezpečiť účinný a nezávislý dozor nad ochranou údajov, ako aj mechanizmy spolupráce s orgánmi členských štátov na ochranu údajov a dotknutým osobám by sa mali poskytnúť účinné a vymožiteľné práva a účinné správne a súdne prostriedky nápravy.

- = -

(108) Pri absencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu.
Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom.
Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.
Mali by sa týkať predovšetkým súladu so všeobecnými zásadami spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov.
Prenosy môžu vykonávať aj orgány verejnej moci alebo verejnoprávne subjekty s orgánmi verejnej moci alebo verejnoprávnymi subjektmi v tretích krajinách alebo s medzinárodnými organizáciami s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb.
Povolenie príslušného dozorného orgánu by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné.

- = -

(110) Skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti by mala byť schopná uplatňovať schválené záväzné vnútropodnikové pravidlá pri svojich medzinárodných prenosoch z Únie organizáciám v rámci tej istej skupiny podnikov alebo podnikov zapojených do spoločnej hospodárskej činnosti, pokiaľ takéto vnútropodnikové pravidlá zahŕňajú všetky hlavné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.

- = -

(117) Zriadenie dozorných orgánov v členských štátoch oprávnených plniť svoje úlohy a vykonávať svoje právomoci úplne nezávisle je zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných údajov. Členské štáty by mali mať možnosť zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú, organizačnú a správnu štruktúru.

- = -

(136) Pri uplatňovaní mechanizmu konzistentnosti by mal výbor v rámci vymedzenej časovej lehoty vydať stanovisko, ak o tom rozhodne väčšina jeho členov alebo ak o to požiada niektorý dotknutý dozorný orgán alebo Komisia.
Výbor by mal byť taktiež oprávnený prijímať právne záväzné rozhodnutia v prípade sporov medzi dozornými orgánmi.
Na tieto účely by mal v zásade dvojtretinovou väčšinou svojich členov vydať právne záväzné rozhodnutia v jasne vymedzených prípadoch, keď medzi dozornými orgánmi dôjde k rozporu o tom, a to najmä v rámci mechanizmu spolupráce medzi vedúcim dozorným orgánom a dotknutými dozornými orgánmi vo veci samej, najmä či došlo k porušeniu tohto nariadenia.

- = -

(148) S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa okrem primeraných opatrení, ktoré ukladá dozorný orgán podľa tohto nariadenia, alebo namiesto nich, mali ukladať za akékoľvek porušenie tohto nariadenia sankcie vrátane správnych pokút.
V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie.
Náležitým spôsobom by sa mala zohľadniť povaha, závažnosť a trvanie porušenia, jeho úmyselná povaha, opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek relevantné predchádzajúce porušenia, spôsob, akým sa o porušení dozvedel dozorný orgán, dodržiavanie opatrení uložených voči prevádzkovateľovi alebo sprostredkovateľovi, dodržiavanie kódexu správania a všetky ďalšie priťažujúce alebo poľahčujúce okolnosti.
Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty vrátane účinnej súdnej ochrany a riadneho procesu.

- = -

(149) Členské štáty by mali mať možnosť stanoviť pravidlá týkajúce sa trestných sankcií za porušenia tohto nariadenia vrátane porušenia vnútroštátnych predpisov prijatých podľa tohto nariadenia a v jeho rámci.
Uvedené trestné sankcie môžu umožniť aj odňatie príjmov získaných porušením tohto nariadenia.
Uloženie trestných sankcií za porušenia takýchto vnútroštátnych predpisov a uloženie správnych sankcií by však nemalo viesť k porušeniu zásady ne bis in idem, ako ju vykladá Súdny dvor.

- = -

(153) V práve členských štátov by sa mali zosúladiť pravidlá týkajúce sa slobody prejavu a práva na informácie vrátane žurnalistickej, akademickej, umeleckej alebo literárnej tvorby s právom na ochranu osobných údajov podľa tohto nariadenia.
Spracúvanie osobných údajov výlučne na žurnalistické účely alebo na účely akademickej, umeleckej alebo literárnej tvorby by malo byť predmetom odchýlok alebo výnimiek z určitých ustanovení tohto nariadenia, ak by to bolo potrebné na zosúladenie práva na ochranu osobných údajov s právom na slobodu prejavu a na informácie, ako je stanovené v článku 11 Charty.
Malo by sa to vzťahovať najmä na spracúvanie osobných údajov v audiovizuálnej oblasti a v archívoch spravodajstva a tlače. Členské štáty by preto mali prijať legislatívne opatrenia, ktorými sa určia výnimky a odchýlky potrebné na dosiahnutie rovnováhy medzi týmito základnými právami. Členské štáty by mali prijať takéto výnimky a odchýlky týkajúce sa všeobecných zásad, práv dotknutej osoby, prevádzkovateľa a sprostredkovateľa, prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám, nezávislých dozorných orgánov, spolupráce a konzistentnosti a osobitných situácií spracúvania údajov.
V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom by malo byť právo členského štátu, ktorému podlieha prevádzkovateľ.
S cieľom zohľadniť dôležitosť práva na slobodu prejavu v každej demokratickej spoločnosti je potrebné pojmy súvisiace s touto slobodou, napríklad žurnalistiku, vykladať v širokom zmysle.

- = -

(154) Týmto nariadením sa umožňuje, aby sa pri jeho uplatňovaní zohľadňovala zásada prístupu verejnosti k úradným dokumentom.
Prístup verejnosti k úradným dokumentom možno považovať za verejný záujem.
Osobné údaje uvedené v dokumentoch, ktoré má v držbe orgán verejnej moci alebo verejnoprávny subjekt, by tento orgán verejnej moci alebo verejnoprávny subjekt mal môcť poskytnúť verejnosti, ak je takéto poskytnutie stanovené v práve Únie alebo v práve členského štátu, ktorým príslušný orgán verejnej moci alebo verejnoprávny subjekt podlieha.
V takýchto právnych predpisoch by sa mal zosúladiť prístup verejnosti k úradným dokumentom a opakované použitie informácií verejného sektora s právom na ochranu osobných údajov a preto sa v nich môže ustanoviť potrebné zosúladenie s právom na ochranu osobných údajov podľa tohto nariadenia.
Odkaz na orgány verejnej moci a verejnoprávne subjekty by mal v tejto súvislosti zahŕňať všetky orgány alebo iné subjekty, na ktoré sa vzťahuje právo členského štátu v oblasti prístupu verejnosti k dokumentom.
Smernica Európskeho parlamentu a Rady 2003/98/ES (14) nemení a žiadnym spôsobom neovplyvňuje úroveň ochrany fyzických osôb pri spracúvaní osobných údajov podľa ustanovení práva Únie a práva členského štátu, a najmä nemení povinnosti a práva ustanovené v tomto nariadení.
Uvedená smernica by sa nemala vzťahovať najmä na dokumenty, ku ktorým je prístup vylúčený alebo obmedzený na základe prístupových režimov z dôvodu ochrany osobných údajov, a na časti dokumentov dostupné na základe týchto režimov, ktoré obsahujú osobné údaje, ktorých opakované použitie je stanovené v práve ako nezlučiteľné s právom týkajúcim sa ochrany fyzických osôb pri spracúvaní osobných údajov.

- = -

(156) Na spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely by sa mali vzťahovať primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto nariadenia.
Uvedenými zárukami by sa malo zaistiť zavedenie technických a organizačných opatrení najmä s cieľom zabezpečiť zásadu minimalizácie údajov. Ďalšie spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely sa má vykonať, keď prevádzkovateľ posúdil možnosti splniť tieto účely takým spracúvaním osobných údajov, ktoré neumožňuje alebo už ďalej neumožňuje identifikovať dotknuté osoby, za podmienky, že existujú primerané záruky (napríklad pseudonymizácia osobných údajov). Členské štáty by mali ustanoviť primerané záruky pre spracúvanie osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. Členské štáty by mali byť oprávnené stanoviť za osobitných podmienok a za primeraných záruk pre dotknuté osoby špecifikácie a výnimky z požiadaviek na informácie a práv na opravu, na vymazanie osobných údajov, na zabudnutie, obmedzenie spracúvania, na prenosnosť údajov a namietať pri spracúvaní osobných údajov na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely.
Tieto podmienky a záruky môžu zahŕňať osobitné postupy pre dotknuté osoby na uplatňovanie týchto práv, ak je to vhodné vzhľadom na účely osobitného spracúvania spolu s technickými a organizačnými opatreniami, ktorých cieľom je minimalizovať spracúvanie osobných údajov podľa zásad proporcionality a nevyhnutnosti.
Spracúvanie osobných údajov na vedecké účely by malo byť aj v súlade s ďalšími relevantnými právnymi predpismi, napríklad predpismi o klinických skúškach.

- = -

(163) Dôverné informácie, ktoré štatistické orgány Únie a členských štátov získavajú na účely tvorby oficiálnych európskych a vnútroštátnych štatistík, by mali byť chránené.
Európske štatistiky by sa mali rozvíjať, vytvárať a šíriť v súlade so štatistickými zásadami stanovenými v článku 338 ods. 2 ZFEÚ, pričom vnútroštátne štatistiky by mali byť aj v súlade s právom členského štátu. Ďalšie spresnenia týkajúce sa dôvernosti štatistických údajov pre európske štatistiky sa uvádzajú v nariadení Európskeho parlamentu a Rady (ES) č. 223/2009 (16).

- = -

(170) Keďže cieľ tohto nariadenia, a to zabezpečiť rovnocennú úroveň ochrany fyzických osôb a voľný tok osobných údajov v rámci celej Únie, nie je možné uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov rozsahu a dôsledkov činnosti ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii (ZEÚ).
V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa.

- = -

dal 2004 diritto e informatica