interactive GDPR 2016/0679 SK

1. Ak si účely, na ktoré prevádzkovateľ spracúva osobné údaje, nevyžadujú alebo prestali vyžadovať od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto nariadením.

2. Ak v prípadoch uvedených v odseku 1 tohto článku prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, zodpovedajúcim spôsobom informuje dotknutú osobu, ak je to možné. V takýchto prípadoch sa články 15 až 20 neuplatňujú, okrem prípadov, ak dotknutá osoba na účely vykonania svojich práv podľa uvedených článkov poskytne dodatočné informácie umožňujúce jej identifikáciu.

KAPITOLA III

Práva dotknutej osoby

Oddiel 1

Transparentnosť a postupy

Článok 15

Právo dotknutej osoby na prístup k údajom

1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:

a)	účely spracúvania;

b)	kategórie dotknutých osobných údajov;

c)	príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;

d)	ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;

e)	existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;

f)	právo podať sťažnosť dozornému orgánu;

g)	ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;

h)	existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46 týkajúcich sa prenosu.

3. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.

4. Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

Oddiel 3

Oprava a vymazanie

Článok 20

Právo na prenosnosť údajov

1. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak:

a)	sa spracúvanie zakladá na súhlase podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), alebo na zmluve podľa článku 6 ods. 1 písm. b), a

b)	ak sa spracúvanie vykonáva automatizovanými prostriedkami.

2. Dotknutá osoba má pri uplatňovaní svojho práva na prenosnosť údajov podľa odseku 1 právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné.

3. Uplatňovaním práva uvedeného v odseku 1 tohto článku nie je dotknutý článok 17. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

4. Právo uvedené v odseku 1 nesmie mať nepriaznivé dôsledky na práva a slobody iných.

Oddiel 4

Právo namietať a automatizované individuálne rozhodovanie

Článok 33

Oznámenie porušenia ochrany osobných údajov dozornému orgánu

1. V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel, oznámi porušenie ochrany osobných údajov dozornému orgánu príslušnému podľa článku 55 s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania.

2. Sprostredkovateľ podá prevádzkovateľovi oznámenie bez zbytočného odkladu po tom, čo sa o porušení ochrany osobných údajov dozvedel.

3. Oznámenie uvedené v odseku 1 musí obsahovať aspoň:

a)	opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch;

b)	meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;

c)	opis pravdepodobných následkov porušenia ochrany osobných údajov;

d)	opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

4. V rozsahu, v akom nie je možné poskytnúť informácie súčasne, možno informácie poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

5. Prevádzkovateľ zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným orgánom overiť súlad s týmto článkom.

Článok 35

Posúdenie vplyvu na ochranu údajov

1. Ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziká, môže byť dostatočné jedno posúdenie.

2. Prevádzkovateľ sa počas vykonávania posúdenia vplyvu na ochranu údajov radí so zodpovednou osobou, pokiaľ bola určená.

3. Posúdenie vplyvu na ochranu údajov uvedené v odseku 1 sa vyžaduje najmä v prípadoch:

a)	systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu;

b)	spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10, alebo

c)	systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

4. Dozorný orgán vypracuje a zverejní zoznam tých spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa odseku 1. Dozorný orgán zasiela tieto zoznamy výboru uvedenému v článku 68.

5. Dozorný orgán môže stanoviť a zverejniť aj zoznam spracovateľských operácií, v prípade ktorých sa nevyžaduje posúdenie vplyvu na ochranu údajov. Dozorný orgán zasiela tieto zoznamy výboru.

6. Príslušný dozorný orgán pred prijatím zoznamov uvedených v odsekoch 4 a 5 uplatní mechanizmus konzistentnosti uvedený v článku 63, ak takéto zoznamy zahŕňajú spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám alebo sledovaním ich správania vo viacerých členských štátoch, alebo ak môžu podstatne ovplyvniť voľný pohyb osobných údajov v rámci Únie.

7. Posúdenie obsahuje aspoň:

a)	systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;

b)	posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;

c)	posúdenie rizika pre práva a slobody dotknutých osôb uvedeného v odseku 1 a

d)	opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

8. Pri posudzovaní dosahu spracovateľských operácií vykonávaných relevantnými prevádzkovateľmi alebo sprostredkovateľmi sa náležite sleduje, či títo prevádzkovatelia alebo sprostredkovatelia dodržiavajú schválené kódexy správania uvedené v článku 40, a to najmä na účely posúdenia vplyvu na ochranu údajov.

9. Prevádzkovateľ sa podľa potreby usiluje získať názory dotknutých osôb alebo ich zástupcov na zamýšľané spracúvanie bez toho, aby bola dotknutá ochrana obchodných alebo verejných záujmov alebo bezpečnosť spracovateľských operácií.

10. Ak má spracúvanie podľa článku 6 ods. 1 písm. c) alebo e) právny základ v práve Únie alebo v práve členského štátu, ktorému prevádzkovateľ podlieha, a toto právo upravuje konkrétnu spracovateľskú operáciu alebo súbor daných operácií, a posúdenie vplyvu na ochranu údajov sa už vykonalo v rámci všeobecného posúdenia vplyvu v súvislosti s prijatím tohto právneho základu, odseky 1 až 7 sa neuplatňujú, pokiaľ členské štáty nepovažujú za potrebné vykonať takéto posúdenie pred začatím spracovateľských činností.

11. V prípade potreby prevádzkovateľ vykoná prehodnotenie s cieľom posúdiť, či sa spracúvanie uskutočňuje v súlade s posúdením vplyvu na ochranu údajov, a to aspoň vtedy, keď došlo k zmene rizika, ktoré predstavujú spracovateľské operácie.

Článok 58

Právomoci

1. Každý dozorný orgán má všetky tieto vyšetrovacie právomoci:

a)	nariadiť prevádzkovateľovi a sprostredkovateľovi a v príslušnom prípade zástupcovi prevádzkovateľa alebo sprostredkovateľa, aby poskytli všetky informácie, ktoré vyžaduje na plnenie svojich úloh;

b)	viesť vyšetrovania vo forme auditov v oblasti ochrany údajov;

c)	vykonávať preskúmania certifikácií vydaných podľa článku 42 ods. 7;

d)	oznamovať prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie tohto nariadenia;

e)	získať od prevádzkovateľa a sprostredkovateľa prístup ku všetkým osobným údajom a všetkým informáciám potrebným na plnenie svojich úloh;

f)	získať prístup do všetkých priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie údajov, v súlade s procesným právom Únie alebo procesným právom členského štátu.

2. Každý dozorný orgán má všetky tieto nápravné právomoci:

a)	upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto nariadenia;

b)	napomenúť prevádzkovateľova alebo sprostredkovateľova, ak spracovateľské operácie porušili ustanovenia tohto nariadenia;

c)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa tohto nariadenia;

d)	nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto nariadenia;

e)	nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe;

f)	nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania;

g)	nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania podľa článkov 16, 17 a 18 a informovanie príjemcov, ktorým boli osobné údaje poskytnuté, o takýchto opatreniach v súlade s článkom 17 ods. 2 a článkom 19;

h)	odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu vydanú podľa článkov 42 a 43, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu;

i)	uložiť v závislosti od okolností každého jednotlivého prípadu správnu pokutu podľa článku 83, a to popri opatreniach uvedených v tomto odseku alebo namiesto nich;

j)	nariadiť pozastavenie toku údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.

3. Každý dozorný orgán má všetky tieto povoľovacie a poradné právomoci:

a)	poskytovať poradenstvo prevádzkovateľovi v súlade s postupom predchádzajúcej konzultácie uvedeným v článku 36;

b)	vydávať z vlastnej iniciatívy alebo na požiadanie stanoviská k akýmkoľvek otázkam súvisiacim s ochranou osobných údajov adresované národnému parlamentu, vláde členského štátu alebo v súlade s právom členského štátu iným inštitúciám a orgánom, ako aj verejnosti;

c)	povoliť spracúvanie uvedené v článku 36 ods. 5, ak právo členského štátu vyžaduje takéto predchádzajúce povolenie;

d)	vydávať stanoviská a schvaľovať návrhy kódexov správania podľa článku 40 ods. 5;

e)	akreditovať certifikačné subjekty podľa článku 43;

f)	vydávať certifikácie a schvaľovať kritériá certifikácie v súlade s článkom 42 ods. 5;

g)	prijímať štandardné doložky o ochrane údajov uvedené v článku 28 ods. 8 a článku 46 ods. 2 písm. d);

h)	schvaľovať zmluvné doložky uvedené v článku 46 ods. 3 písm. a);

i)	schvaľovať administratívne dojednania uvedené v článku 46 ods. 3 písm. b);

j)	schvaľovať záväzné vnútropodnikové pravidlá podľa článku 47.

4. Výkon právomocí udelených dozornému orgánu podľa tohto článku podlieha primeraným zárukám vrátane účinného súdneho prostriedku nápravy a riadneho procesu, stanoveným v práve Únie a v práve členského štátu v súlade s chartou.

5. Každý členský štát prostredníctvom právnych predpisov stanoví, že jeho dozorný orgán má právomoc upozorniť justičné orgány na porušenia tohto nariadenia a prípadne začať súdne konanie alebo sa na ňom inak zúčastniť s cieľom presadiť dodržiavanie ustanovení tohto nariadenia.

6. Každý členský štát môže prostredníctvom právnych predpisov stanoviť, že jeho dozorný orgán má popri právomociach uvedených v odsekoch 1, 2 a 3 ďalšie právomoci. Výkon uvedených právomocí nesmie zasahovať do účinného fungovania kapitoly VII.

Článok 64

Stanovisko výboru

1. Výbor vydá stanovisko, keď má príslušný dozorný orgán v úmysle prijať ktorékoľvek z opatrení uvedených nižšie. Na tento účel príslušný dozorný orgán oznámi výboru návrh rozhodnutia, ak:

a)	je zamerané na prijatie zoznamu spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu údajov podľa článku 35 ods. 4;

b)	sa týka záležitosti podľa článku 40 ods. 7, a to či návrh kódexu správania alebo zmena alebo rozšírenie kódexu správania je v súlade s týmto nariadením;

c)	je zamerané na schválenie kritérií pre akreditáciu orgánu podľa článku 41 ods. 3 alebo certifikačného subjektu podľa článku 43 ods. 3;

d)	je zamerané na určenie štandardných doložiek o ochrane údajov uvedených v článku 46 ods. 2 písm. d) a článku 28 ods. 8;

e)	je zamerané na povolenie zmluvných doložiek uvedených v článku 46 ods. 3 písm. a) alebo

f)	je zamerané na schválenie záväzných vnútropodnikových pravidiel v zmysle článku 47.

2. Ktorýkoľvek dozorný orgán, predseda výboru alebo Komisia môže požiadať, aby akúkoľvek záležitosť so všeobecným uplatnením alebo s účinkami vo viac ako jednom členskom štáte preskúmal výbor s cieľom získať stanovisko, najmä ak si príslušný dozorný orgán neplní povinnosti týkajúce sa vzájomnej pomoci podľa článku 61 alebo spoločných operácií podľa článku 62.

3. V prípadoch uvedených v odsekoch 1 a 2 výbor vydá stanovisko k záležitosti, ktorá sa mu predloží, ak ešte k rovnakej záležitosti stanovisko nevydal. Uvedené stanovisko sa prijme do ôsmich týždňov jednoduchou väčšinou členov výboru. Uvedená lehota sa môže predĺžiť o ďalších šesť týždňov, pričom sa zohľadní zložitosť danej záležitosti. Pokiaľ ide o návrh rozhodnutia uvedený v odseku 1, ktorý sa rozošle členom výboru v súlade s odsekom 5, o členovi, ktorý nevznesie námietku v primeranej lehote určenej predsedom, sa predpokladá, že s návrhom rozhodnutia súhlasí.

4. Dozorné orgány a Komisia bez zbytočného odkladu oznamujú elektronickými prostriedkami výboru všetky relevantné informácie a podľa potreby aj zhrnutie skutočností, návrh rozhodnutia, dôvody, pre ktoré je prijatie takéhoto opatrenia potrebné, a názory ostatných dotknutých dozorných orgánov, pričom používajú štandardizovaný formát.

5. Predseda výboru bez zbytočného odkladu informuje elektronickými prostriedkami:

a)	členov výboru a Komisiu o všetkých relevantných informáciách, ktoré mu boli oznámené, pričom používa štandardizovaný formát. Sekretariát výboru podľa potreby poskytne preklady relevantných informácií a

b)	dozorný orgán uvedený v odseku 1, a prípadne v odseku 2, a Komisiu o stanovisku a zverejní ho.

6. Príslušný dozorný orgán neprijme svoj návrh rozhodnutia uvedený v odseku 1 v lehote uvedenej v odseku 3.

7. Dozorný orgán uvedený v odseku 1 v čo najväčšej miere zohľadní stanovisko výboru a do dvoch týždňov po získaní stanoviska predsedovi výboru elektronickými prostriedkami oznámi, či bude trvať na svojom návrhu rozhodnutia alebo ho zmení, a podľa potreby mu oznámi aj zmenený návrh rozhodnutia, pričom použije štandardizovaný formát.

8. Ak dotknutý dozorný orgán informuje predsedu výboru v rámci lehoty uvedenej v odseku 7 tohto článku o tom, že nemá v úmysle postupovať úplne alebo sčasti podľa stanoviska výboru, pričom poskytne relevantné dôvody, uplatňuje sa článok 65 ods. 1.

whereas

(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé.
Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať.
Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Uvedená zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania, pokiaľ ide o dotknuté fyzické osoby a ich právo získať potvrdenie a oznámenie spracúvaných osobných údajov, ktoré sa ich týkajú.
Fyzické osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to, ako uplatňovať svoje práva pri takomto spracúvaní.
Najmä konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov.
Osobné údaje by mali byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú.
To si vyžaduje najmä zabezpečenie toho, aby obdobie, počas ktorého sa tieto osobné údaje uchovávajú, bolo obmedzené na nevyhnutný rozsah.
Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
S cieľom zabezpečiť, aby sa osobné údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ stanoviť lehoty na vymazanie alebo pravidelné preskúmanie.
Mali by sa prijať všetky primerané opatrenia, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov.
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávnenému prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.

- = -

(57) Ak osobné údaje, ktoré spracúva prevádzkovateľ, nedovoľujú prevádzkovateľovi identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikovanie dotknutej osoby výlučne na to, aby dosiahol súlad s niektorým ustanovením tohto nariadenia.
Prevádzkovateľ by však nemal odmietnuť prijať dodatočné informácie, ktoré mu poskytne dotknutá osoba na podporu uplatnenia svojich práv.
Súčasťou identifikácie by mala byť digitálna identifikácia dotknutej osoby, napríklad prostredníctvom mechanizmu autentifikácie, napríklad použitím rovnakých prihlasovacích údajov, ktoré dotknutá osoba použila na prihlásenie do online služby poskytovanej prevádzkovateľom.

- = -

(68) S cieľom ďalej posilniť kontrolu nad svojimi vlastnými údajmi by mala mať dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, možnosť získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom strojovo čitateľnom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi.
Prevádzkovatelia by sa mali nabádať, aby vyvinuli interoperabilné formáty, ktoré umožnia prenosnosť údajov.
Uvedené právo by sa malo uplatňovať, ak dotknutá osoba poskytla osobné údaje na základe svojho súhlasu alebo ak je spracúvanie potrebné na plnenie zmluvy.
Nemalo by sa uplatňovať, ak je spracúvanie založené na inom právnom základe, než je súhlas alebo zmluva.
Zo samotnej povahy uvedeného práva vyplýva, že by sa nemalo uplatňovať voči prevádzkovateľom, ktorí spracúvajú osobné údaje pri výkone svojich verejných úloh.
Nemalo by sa preto uplatňovať, ak je spracúvanie osobných údajov potrebné na plnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Právo dotknutej osoby na prenos alebo prijatie osobných údajov, ktoré sa jej týkajú, by nemalo mať za následok vznik povinnosti prevádzkovateľov prijať alebo zachovať systémy spracúvania, ktoré sú technicky kompatibilné.
Ak v rámci určitého súboru osobných údajov ide o viac ako jednu dotknutú osobu, právom prijímať tieto osobné údaje by nemali byť dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia.
Okrem toho by uvedeným právom nemalo byť dotknuté právo dotknutej osoby dosiahnuť vymazanie osobných údajov a obmedzenia tohto práva, ako sa uvádzajú v tomto nariadení, a predovšetkým by toto právo nemalo viesť k vymazaniu osobných údajov dotknutej osoby, ktoré poskytla na účely plnenia zmluvy, v takom rozsahu a počas takého obdobia, ako sú tieto osobné údaje potrebné na plnenie danej zmluvy.
Keď je to technicky možné, mala by mať dotknutá osoba právo na prenos osobných údajov priamo od jedného prevádzkovateľa k druhému.

- = -

(108) Pri absencii rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mali prijať opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu.
Takéto primerané záruky môžu spočívať v uplatnení záväzných vnútropodnikových pravidiel, štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom, alebo zmluvných doložiek povolených dozorným orgánom.
Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných právnych prostriedkov nápravy vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine.
Mali by sa týkať predovšetkým súladu so všeobecnými zásadami spracúvania osobných údajov a zásad špecificky navrhnutej a štandardnej ochrany údajov.
Prenosy môžu vykonávať aj orgány verejnej moci alebo verejnoprávne subjekty s orgánmi verejnej moci alebo verejnoprávnymi subjektmi v tretích krajinách alebo s medzinárodnými organizáciami s príslušnými povinnosťami alebo funkciami, a to aj na základe ustanovení, ktoré sa vložia do administratívnych dojednaní, ako napríklad memorandum o porozumení, v ktorých sa ustanovia vymožiteľné a účinné práva dotknutých osôb.
Povolenie príslušného dozorného orgánu by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné.

- = -

(157) Spojením informácií z registrov môžu výskumní pracovníci získať veľmi hodnotné nové znalosti, pokiaľ ide o celkový zdravotný stav, ako sú srdcovo-cievne ochorenia, rakovina a depresia.
Na základe registrov sa hodnota výsledkov výskumu môže zvýšiť, pretože vychádzajú z väčšieho počtu obyvateľov.
V spoločenskej vede umožňuje výskum na základe registrov výskumným pracovníkom získavať kľúčové znalosti o dlhodobej vzájomnej súvislosti medzi niektorými sociálnymi podmienkami, napríklad nezamestnanosťou a vzdelaním a inými životnými podmienkami.
Výsledky výskumu získané prostredníctvom registrov poskytujú spoľahlivé, vysokokvalitné znalosti, ktoré môžu byť základom pre formuláciu a vykonávanie znalostnej politiky, zlepšiť kvalitu života mnohých ľudí a zvýšiť účinnosť sociálnych služieb.
V záujme uľahčenia vedeckého výskumu možno osobné údaje spracúvať na účely vedeckého výskumu za predpokladu primeraných podmienok a záruk stanovených v práve Únie alebo v práve členského štátu.

- = -

(164) Pokiaľ ide o právomoc dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do ich prevádzkových priestorov, členské štáty môžu prijať prostredníctvom právnych predpisov a v medziach tohto nariadenia osobitné pravidlá s cieľom zaručiť plnenie povinností týkajúcich sa profesijného tajomstva alebo inej rovnocennej povinnosti zachovávať mlčanlivosť, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s povinnosťou zachovávať profesijné tajomstvo.
Týmto nie sú dotknuté existujúce povinnosti členských štátov, pokiaľ ide o prijatie noriem o profesijnom tajomstve v prípadoch, v ktorých sa to požaduje v práve Únie.

- = -

dal 2004 diritto e informatica