1.1
Nařízení EU 2016/679 – GDPR – plné znění
European Union
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679
ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
(Text s významem pro EHP)
EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,
s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 16 této smlouvy,
s ohledem na návrh Evropské komise,
po postoupení návrhu legislativního aktu vnitrostátním parlamentům,
s ohledem na stanovisko Evropského hospodářského a sociálního výboru (),
s ohledem na stanovisko Výboru regionů (),
v souladu s řádným legislativním postupem (),
vzhledem k těmto důvodům:
(1) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie (dále jen "Listina") a čl. 16 odst. 1 Smlouvy o fungování Evropské unie (dále jen "Smlouva o fungování EU") přiznávají každému právo na ochranu osobních údajů, které se jej týkají.
(2) Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem tohoto nařízení je přispět k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, k posílení a sblížení ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám fyzických osob.
(3) Účelem směrnice Evropského parlamentu a Rady 95/46/ES () je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti s činnostmi zpracování a zajistit volný pohyb osobních údajů mezi členskými státy.
(4) Zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy. Toto nařízení ctí všechna základní práva a dodržuje svobody a zásady uznávané Listinou, jak jsou zakotveny ve Smlouvách, zejména respektování soukromého a rodinného života, obydlí a komunikace, ochranu osobních údajů, svobodu myšlení, svědomí a náboženského vyznání, svobodu projevu a informací, svobodu podnikání, právo na účinnou právní ochranu a spravedlivý proces, jakož i kulturní, náboženskou a jazykovou rozmanitost.
(5) Hospodářská a sociální integrace vyplývající z fungování vnitřního trhu vedla ke značnému nárůstu přeshraničních toků osobních údajů. V celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků. Právo Unie zavazuje vnitrostátní orgány členských států ke spolupráci a výměně osobních údajů, aby mohly plnit své povinnosti nebo provádět úkoly jménem orgánu jiného členského státu.
(6) Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Fyzické osoby stále častěji své osobní údaje zveřejňují, a to i v globálním měřítku. Technologie změnily ekonomiku i společenský život a měly by dále usnadňovat volný pohyb osobních údajů v rámci Unie a předávání do třetích zemí a mezinárodním organizacím a zároveň zajistit vysokou úroveň ochrany osobních údajů.
(7) Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu. Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje. Měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci.
(8) Stanoví-li toto nařízení upřesnění nebo omezení svých pravidel právem členského státu, mohou členské státy začlenit do svého vnitrostátního práva prvky tohoto nařízení, pokud je to nezbytné pro účely soudržnosti a pro učinění vnitrostátních předpisů srozumitelnými pro osoby, na něž se vztahují.
(9) Ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránilo to roztříštěnosti v provádění ochrany údajů v celé Unii, právní nejistotě ani rozšířenému pocitu veřejnosti, že v souvislosti s ochranou fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online. Rozdíly v úrovni ochrany práv a svobod fyzických osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie. Tyto rozdíly proto mohou být překážkou pro výkon hospodářských činností na úrovni Unie, mohou narušovat hospodářskou soutěž a bránit orgánům veřejné moci ve výkonu povinností, které jim ukládají právní předpisy Unie. Tato rozdílná úroveň ochrany je způsobena rozdíly v provádění a uplatňování směrnice 95/46/ES.
(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. Pokud jde o zpracování osobních údajů z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, měly by mít členské státy možnost zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení. Ve spojení s obecnými a horizontálními právními předpisy o ochraně údajů provádějícími směrnici 95/46/ES existuje v členských státech několik právních předpisů specifických pro určitá odvětví v oblastech, ve kterých je třeba přijmout konkrétnější ustanovení. Toto nařízení rovněž poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně pravidel pro zpracování zvláštních kategorií osobních údajů ("citlivé osobní údaje"). V tomto rozsahu nařízení nevylučuje, aby právo členského státu stanovilo okolnosti konkrétních situací, při nichž dochází ke zpracování, včetně přesnějšího určení podmínek, za nichž je zpracování osobních údajů zákonné.
(11) Účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech.
(12) Ustanovení čl. 16 odst. 2 Smlouvy o fungování EU zmocňuje Evropský parlament a Radu ke stanovení pravidel o ochraně fyzických osob při zpracování osobních údajů a pravidel o volném pohybu těchto údajů.
(13) Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států. Řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Unii nebyl z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán. Aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje toto nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Kromě toho jsou orgány a instituce Unie, členské státy a jejich dozorové úřady podporovány v tom, aby specifické potřeby mikropodniků a malých a středních podniků zohledňovaly při uplatňování tohoto nařízení. Pojem mikropodniky a malé a střední podniky by měl vycházet z článku 2 přílohy doporučení Komise 2003/361/ES ().
(14) Ochrana poskytovaná tímto nařízením by se měla týkat zpracování osobních údajů fyzických osob bez ohledu na jejich státní příslušnost nebo bydliště. Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.
(15) S cílem zabránit vzniku vážného rizika obcházení by ochrana fyzických osob měla být technologicky neutrální a nezávislá na použitých technologiích. Ochrana fyzických osob by se měla vztahovat jak na automatizované zpracování osobních údajů, tak na manuální zpracování, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy. Záznamy nebo soubory záznamů ani jejich titulní strany, které nejsou uspořádány podle určených hledisek, by do oblasti působnosti tohoto nařízení spadat neměly.
(16) Toto nařízení se nevztahuje na otázky ochrany základních práv a svobod nebo volného pohybu osobních údajů v souvislosti s činnostmi, které nespadají do působnosti práva Unie, jako jsou činnosti týkající se národní bezpečnosti. Toto nařízení se rovněž nevztahuje na zpracování osobních údajů členskými státy při výkonu činností v rámci společné zahraniční a bezpečnostní politiky Unie.
(17) Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 () se vztahuje na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů by měly být uzpůsobeny zásadám a pravidlům zavedeným tímto nařízením a uplatňovány s ohledem na toto nařízení. S cílem zajistit pevný a soudržný rámec pro ochranu osobních údajů na úrovni Unie by po přijetí tohoto nařízení měly následovat nezbytné úpravy nařízení (ES) č. 45/2001, aby bylo možné jej uplatňovat zároveň s tímto nařízením.
(18) Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů.
(19) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem předcházení trestným činům nebo jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení a volný pohyb těchto údajů jsou upraveny zvláštním právním aktem Unie. Proto by se toto nařízení nemělo uplatňovat na činnosti zpracování za těmito účely. Na osobní údaje zpracovávané orgány veřejné moci podle tohoto nařízení, pokud jsou používány za těmito účely, by se však měl vztahovat konkrétnější právní akt Unie, totiž směrnice Evropského parlamentu a Rady (EU) 2016/680 (). Členské státy mohou pověřit příslušné orgány ve smyslu směrnice (EU) 2016/680 i úkoly, které nemusí být nutně prováděny za účelem předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, tak aby zpracování osobních údajů pro tyto jiné účely v rozsahu, v němž náleží do působnosti práva Unie, spadalo do oblasti působnosti tohoto nařízení.
Pokud jde o zpracování osobních údajů těmito příslušnými orgány pro účely spadající do oblasti působnosti tohoto nařízení, měly by mít členské státy možnost ponechat v platnosti nebo zavést konkrétnější ustanovení, aby používání pravidel tohoto nařízení přizpůsobily. Tato ustanovení mohou přesněji určit konkrétní požadavky na zpracování osobních údajů těmito příslušnými orgány pro uvedené jiné účely, s přihlédnutím k ústavní, organizační a správní struktuře daného členského státu. Pokud zpracování osobních údajů soukromými subjekty spadá do oblasti působnosti tohoto nařízení, mělo by toto nařízení členským státům umožnit, aby za určitých podmínek zákonem omezily některé povinnosti a práva, jestliže takové omezení představuje nezbytné a přiměřené opatření v demokratické společnosti na ochranu konkrétních důležitých zájmů, včetně veřejné bezpečnosti a předcházení trestným činům a jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je relevantní například v rámci boje proti praní peněz nebo činností forenzních laboratoří.
(20) Toto nařízení se mimo jiné vztahuje na činnost soudů a dalších justičních orgánů, a proto by právo Unie nebo členského státu mohlo stanovit operace a postupy zpracování v souvislosti se zpracováním osobních údajů soudy a dalšími justičními orgány. Pravomoc dozorových úřadů by neměla zahrnovat zpracování osobních údajů, pokud soudy jednají v rámci svých soudních pravomocí, aby byla zajištěna nezávislost soudnictví při plnění soudních funkcí, včetně rozhodování. Dozor nad takovými operacemi zpracování by mělo být možné svěřit zvláštním subjektům v rámci justičního systému členského státu, které by zejména měly zajistit soulad s pravidly tohoto nařízení, posilovat povědomí členů justičních orgánů o jejich povinnostech podle tohoto nařízení a zabývat se stížnostmi souvisejícími s takovými operacemi zpracování.
(21) Tímto nařízením není dotčeno uplatňování směrnice Evropského parlamentu a Rady 2000/31/ES (), zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice. Cílem uvedené směrnice je přispět k řádnému fungování vnitřního trhu tím, že zajistí volný pohyb služeb informační společnosti mezi členskými státy.
(22) Jakékoliv zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii by mělo být prováděno v souladu s tímto nařízením bez ohledu na to, zda samotné zpracování probíhá v Unii nebo mimo ni. Provozovna předpokládá účinný a skutečný výkon činnosti prostřednictvím stálého zařízení. Právní forma této provozovny, ať již jde o pobočku, nebo dceřinou společnost s právní subjektivitou, není v tomto ohledu rozhodujícím faktorem.
(23) Aby bylo zajištěno, že fyzickým osobám nebude odepřena ochrana, na niž mají podle tohoto nařízení nárok, mělo by se na zpracování osobních údajů subjektů údajů nacházejících se v Unii uskutečněné správcem nebo zpracovatelem, jenž není v Unii usazen, vztahovat toto nařízení, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů bez ohledu na to, zda je spojena s platbou. Aby se určilo, zda takový správce nebo zpracovatel nabízí zboží nebo služby subjektům údajů nacházejícím se v Unii, je třeba zjistit, zda je zjevné, že má správce nebo zpracovatel v úmyslu nabízet služby subjektům údajů v jednom nebo více členských státech v Unii. Zatímco pouhá dostupnost internetových stránek správce, zpracovatele nebo zprostředkovatele v Unii, e-mailové adresy nebo jiných kontaktních údajů anebo používání jazyka obecně používaného ve třetí zemi, v níž je správce usazen, nepostačuje ke zjištění tohoto úmyslu, mohly by faktory, jako je používání jazyka nebo měny obecně používaných v jednom nebo více členských státech, spolu s možností objednat zboží a služby v tomto jiném jazyce nebo zmínky o zákaznících či uživatelích nacházejících se v Unii, být zjevným dokladem toho, že správce má v úmyslu nabízet zboží nebo služby subjektům údajů v Unii.
(24) Na zpracování osobních údajů subjektů údajů nacházejících se v Unii správcem nebo zpracovatelem, který není v Unii usazen, by se rovněž mělo vztahovat toto nařízení, pokud souvisí s monitorováním chování takových subjektů údajů v rozsahu, v němž k tomuto chování dochází v Unii. Aby se určilo, zda může být činnost zpracování považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného použití technik zpracování osobních údajů, které spočívají v profilování fyzické osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování.
(25) Pokud se právo členského státu uplatňuje na základě mezinárodního práva veřejného, mělo by se toto nařízení vztahovat také na správce, který není usazen v Unii, například na diplomatické misi nebo na konzulárním zastoupení členského státu.
(26) Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby. Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji. Zásady ochrany osobních údajů by se proto neměly vztahovat na anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným. Toto nařízení se tedy netýká zpracování těchto anonymních informací, včetně zpracování pro statistické nebo výzkumné účely.
(27) Toto nařízení se nevztahuje na osobní údaje zesnulých osob. Členské státy mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob.
(28) Použití pseudonymizace osobních údajů může omezit rizika pro dotčené subjekty údajů a napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů. Výslovné zavedení "pseudonymizace" v tomto nařízení nemá za cíl předem vyloučit jakákoliv další opatření týkající se ochrany údajů.
(29) S cílem vytvořit pobídky pro uplatňování pseudonymizace při zpracování osobních údajů by opatření pseudonymizace při současném umožnění obecné analýzy měla být možná v rámci téhož správce, pokud tento správce přijal technická a organizační opatření nezbytná k zajištění toho, aby bylo v případě daného zpracování provedeno toto nařízení a aby doplňkové informace pro přiřazení osobních údajů konkrétnímu subjektu údajů byly uchovány samostatně. Správce, který zpracovává osobní údaje, by rovněž měl označit oprávněné osoby v rámci téhož správce.
(30) Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například adresy internetového protokolu či identifikátory cookies, nebo jiné identifikátory, jako jsou štítky pro identifikaci na základě rádiové frekvence. Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k profilování fyzických osob a k jejich identifikaci.
(31) Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem Unie či členského státu. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování.
(32) Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.
(33) Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel.
(34) Genetické údaje by měly být definovány jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby, zejména chromozomů nebo kyseliny deoxyribonukleové (DNA) či ribonukleové (RNA), anebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace.
(35) Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU (), číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.
(36) Hlavní provozovnou správce v Unii by mělo být místo, kde se nachází jeho ústřední správa v Unii, ledaže by rozhodnutí ohledně účelů a prostředků zpracování osobních údajů byla přijímána v jiné provozovně správce v Unii, a v tom případě by za hlavní provozovnu měla být považována tato jiná provozovna. Hlavní provozovna správce v Unii by měla být určena na základě objektivních kritérií. Jedním z nich by měl být účinný a skutečný výkon řídících činností rozhodujících pro hlavní rozhodnutí ohledně účelů a prostředků zpracování v rámci stálého zařízení. Toto kritérium by nemělo záviset na tom, zda je zpracování osobních údajů prováděno na tomto místě. Existence a používání technických prostředků a technologií pro zpracování osobních údajů ani činnosti zpracování nezakládají samy o sobě hlavní provozovnu, a proto nejsou rozhodujícími kritérii pro její určení. Hlavní provozovna zpracovatele by měla být místem, kde se nachází jeho ústřední správa v Unii, nebo pokud v Unii nemá ústřední správu, pak místem, kde jsou v Unii prováděny hlavní činnosti zpracování. V případech týkajících se správce i zpracovatele by příslušným vedoucím dozorovým úřadem měl i nadále být dozorový úřad členského státu, v němž má správce hlavní provozovnu, avšak dozorový úřad zpracovatele by měl být považován za dotčený dozorový úřad a účastnit se postupu spolupráce stanoveného tímto nařízením. Dozorové úřady členského státu nebo členských států, v nichž má zpracovatel jednu nebo více provozoven, by v žádném případě neměly být považovány za dotčené dozorové úřady, pokud se návrh rozhodnutí týká pouze správce. Pokud zpracování provádí skupina podniků, měly by být za hlavní provozovnu této skupiny považována hlavní provozovna řídícího podniku, s výjimkou případů, kdy účely a způsob zpracování určuje jiný podnik.
(37) Skupina podniků by měla zahrnovat řídící podnik a jím řízené podniky, přičemž řídícím podnikem by měl být podnik, jenž může uplatňovat dominantní vliv na jiné podniky například na základě vlastnictví, finanční účasti nebo pravidel, kterými se podnik řídí, či pravomoci prosazovat pravidla týkající se ochrany osobních údajů. Podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, by měl být společně s těmito podniky považován za skupinu podniků.
(38) Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem.
(39) Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů. Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum. Měla by být přijata veškerá vhodná opatření, aby nepřesné osobní údaje byly opraveny nebo vymazány. Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití.
(40) Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo s ohledem na nějaký jiný legitimní základ stanovený právními předpisy, buď v tomto nařízení, nebo v jiném právním předpise Unie nebo členského státu, jak je uvedeno v tomto nařízení, mimo jiné i s ohledem na nezbytnost dodržení zákonné povinnosti, která se na správce vztahuje, nebo nezbytnost plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy.
(41) Odkazy v tomto nařízení na právní základ či legislativní opatření neznamenají nutně legislativní akt přijatý parlamentem, aniž jsou dotčeny požadavky vyplývající z ústavního řádu dotčeného členského státu. Tento právní základ či legislativní opatření by však měly být jasné a přesné a jejich použití by mělo být předvídatelné pro osoby, na něž se vztahují, jak to vyžaduje judikatura Soudního dvora Evropské unie (dále jen "Soudní dvůr") a Evropského soudu pro lidská práva.
(42) Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS () by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.
(43) S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.
(44) Zpracování by mělo být zákonné, pokud je nezbytné v souvislosti s plněním smlouvy nebo úmyslem smlouvu uzavřít.
(45) Pokud je zpracování prováděno v souladu se zákonnou povinností, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, mělo by mít toto zpracování základ v právu Unie nebo členského státu. Toto nařízení nestanoví požadavek zvláštního právního předpisu pro každé jednotlivé zpracování. Jeden právní předpis jakožto základ pro více operací zpracování údajů založených na právní povinnosti, která se na správce vztahuje, nebo pokud je zpracování nezbytné ke splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, může být dostačující. Právo Unie nebo členského státu by rovněž mělo stanovit účel zpracování. Toto právo by dále mohlo upřesnit obecné podmínky nařízení, kterými se řídí zákonnost zpracování osobních údajů, stanovit podrobnosti týkající se určení správce, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje sdělit, účelového omezení, doby uložení a dalších opatření k zajištění zákonného a spravedlivého zpracování. Právo Unie nebo členského státu by rovněž mělo stanovit, zda by správcem plnícím úkol ve veřejném zájmu nebo při výkonu veřejné moci měl být orgán veřejné moci nebo jiná veřejnoprávní právnická osoba, nebo pokud je to odůvodněno veřejným zájmem, včetně oblasti zdraví, jako je veřejné zdraví a sociální ochrana a řízení zdravotnických služeb, fyzická osoba či soukromoprávní právnická osoba, například profesní sdružení.
(46) Zpracování osobních údajů by mělo být rovněž považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií a jejich šíření nebo v naléhavých humanitárních situacích, zejména v případech přírodních a člověkem způsobených katastrof.
(47) Oprávněné zájmy správce, včetně správce, jemuž mohou být osobní údaje poskytnuty, nebo třetí strany se mohou stát právním základem zpracování za předpokladu, že nepřevažují zájmy nebo základní práva a svobody subjektu údajů, a to při zohlednění přiměřeného očekávání subjektu údajů na základě jeho vztahu se správcem. Tento oprávněný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby. Existenci oprávněného zájmu je v každém případě třeba pečlivě posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování důvodně neočekává. Jelikož právní základ pro zpracování osobních údajů orgány veřejné moci má upravit zákonodárce právním předpisem, neměl by se tento právní základ vztahovat na zpracování prováděné orgány veřejné moci při plnění jejich úkolů. Oprávněným zájmem dotčeného správce údajů je rovněž zpracování osobních údajů nezbytně nutné pro účely zamezení podvodům. Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.
(48) Správci, kteří jsou součástí skupiny podniků nebo instituce přidružené k ústřednímu orgánu, mohou mít oprávněný zájem na předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků či zaměstnanců. Obecné zásady pro předávání osobních údajů v rámci skupiny podniků do podniku nacházejícího se ve třetí zemi zůstávají nedotčeny.
(49) Zpracování osobních údajů v rozsahu nezbytně nutném a přiměřeném pro zajištění bezpečnosti sítě a informací, to jest schopnosti sítě nebo informačního systému odolávat na dané úrovni spolehlivosti, náhodným událostem nebo protiprávnímu či zlovolnému jednání ohrožujícímu dostupnost, pravost, správnost a důvěrnost uložených či předávaných osobních údajů a bezpečnost souvisejících služeb poskytovaných či přístupných prostřednictvím těchto sítí a systémů, které provádějí orgány veřejné moci, skupiny pro reakci na počítačové hrozby (CERT), skupiny pro reakci na incidenty v oblasti počítačové bezpečnosti (CSIRT), poskytovatelé elektronických komunikačních sítí a služeb a poskytovatelé bezpečnostních technologií a služeb, představuje oprávněný zájem dotčeného správce údajů. Oprávněný zájem by například mohl spočívat v zabránění neoprávněnému přístupu k sítím elektronických komunikací a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací.
(50) Zpracování osobních údajů pro jiné účely, než jsou ty, pro které byly osobní údaje původně shromážděny, by mělo být povoleno pouze v případě, kdy je slučitelné s účely, pro které byly osobní údaje původně shromážděny. V takovém případě není třeba právní základ odlišný od toho, který umožnil shromáždění osobních údajů. Pokud je zpracování nezbytné ke splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce, mohou být v právu Unie nebo členského státu určeny a vymezeny úkoly a účely, pro které se další zpracování považuje za slučitelné a zákonné. Další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo být považováno za slučitelné zákonné operace zpracování. Právní základ pro zpracování osobních údajů podle práva Unie nebo členského státu může rovněž posloužit jako právní základ pro další zpracování. S cílem zjistit, zda je účel dalšího zpracování slučitelný s účelem, pro který byly osobní údaje původně shromážděny, by měl správce, po splnění všech požadavků na zákonnost původního zpracování, vzít mimo jiné v úvahu jakoukoliv vazbu mezi těmito účely a účely zamýšleného dalšího zpracování, kontext, v němž byly osobní údaje shromážděny, zejména přiměřená očekávání ohledně dalšího použití osobních údajů, která mají subjekty údajů na základě svého vztahu se správcem, povahu osobních údajů, důsledky zamýšleného dalšího zpracování pro subjekty údajů a existenci vhodných záruk jak během původních, tak během zamýšlených dalších operací zpracování.
Pokud subjekt údajů udělil souhlas nebo pokud je zpracování na základě práva Unie nebo členského státu, které představuje v rámci demokratické společnosti nezbytné a přiměřené opatření s cílem zajistit zejména důležité cíle obecného veřejného zájmu, měl by správce mít možnost dalšího zpracování osobních údajů bez ohledu na slučitelnost účelů. V každém případě by mělo být zajištěno, že budou uplatňovány zásady stanovené v tomto nařízení, a zejména že bude subjekt údajů o těchto jiných účelech a o svých právech, včetně práva vznést námitku, informován. Oznámení případných trestných činů nebo hrozeb pro veřejnou bezpečnost správcem a předání dotčených osobních údajů příslušnému orgánu v jednotlivých případech nebo v několika případech týkajících se téhož trestného činu nebo hrozeb pro veřejnou bezpečnost by mělo být považováno za oprávněný zájem správce. Avšak takové přenesení oprávněného zájmu správce nebo další zpracování osobních údajů by mělo být zakázáno, jestliže není slučitelné s povinností mlčenlivosti vyplývající ze zákona či se závaznou povinností zachovávat profesní či jiné tajemství.
(51) Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody. Mezi tyto osobní údaje by měly patřit osobní údaje vypovídající o rasovém či etnickém původu, ovšem s tím, že použití slov "rasový původ" v tomto nařízení neznamená, že Unie akceptuje teorie, které se pokoušejí určit existenci různých lidských ras. Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby. Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů poskytuje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.
(52) Je třeba rovněž povolit odchylky od zákazu zpracování zvláštních kategorií osobních údajů, jsou-li stanoveny v právu Unie nebo členského státu a chráněny vhodnými zárukami na ochranu osobních údajů a jiných základních práv, je-li toto zpracování ve veřejném zájmu, zejména zpracování osobních údajů v oblasti pracovního práva a práva v oblasti sociální ochrany, včetně důchodů, a pro účely zdravotní bezpečnosti, monitorování a varování, předcházení přenosným chorobám a jiným závažným hrozbám pro zdraví nebo jejich kontroly. Tato odchylka může být učiněna z důvodů zdraví, včetně veřejného zdraví a řízení zdravotnických služeb, zejména v zájmu zajištění kvality a hospodárnosti v postupech používaných pro vyřizování nároků na plnění a služby v systému zdravotního pojištění, nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Odchylka by rovněž měla umožnit zpracování těchto osobních údajů v případech, kdy je to nezbytné pro stanovení, výkon nebo ochranu právních nároků, ať již v soudním řízení, nebo ve správním či mimosoudním řízení.
(53) Zvláštní kategorie osobních údajů, které zasluhují vyšší stupeň ochrany, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče a systémů, což zahrnuje zpracování těchto údajů vedoucími pracovníky a ústředními vnitrostátními zdravotnickými orgány pro účely kontroly kvality, správy informací a obecného vnitrostátního a místního dozoru nad systémem zdravotní nebo sociální péče, a zajištění kontinuity zdravotní nebo sociální péče a přeshraniční zdravotní péče nebo zdravotní bezpečnosti, pro účely monitorování a varování nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely na základě práva Unie nebo členského státu, které musí být ve veřejném zájmu, jakož i pro studie prováděné ve veřejném zájmu v oblasti veřejného zdraví. Proto by toto nařízení mělo stanovit harmonizované podmínky pro zpracování zvláštních kategorií osobních údajů o zdravotním stavu, pokud jde o zvláštní potřeby, zejména je-li zpracování takových údajů prováděno pro určité účely související se zdravím osobou vázanou profesním tajemstvím podle právních předpisů. Právo Unie nebo členského státu by mělo stanovit zvláštní a vhodná opatření s cílem chránit základní práva a osobní údaje fyzických osob. Členské státy by měly mít možnost zachovat nebo zavést další podmínky, včetně omezení, pokud jde o zpracování genetických údajů, biometrických údajů či údajů o zdravotním stavu. To by však nemělo omezovat volný pohyb osobních údajů v rámci Unie, pokud se tyto podmínky uplatní na přeshraniční zpracování takových údajů.
(54) Z důvodů veřejného zájmu v oblasti veřejného zdraví může být nezbytné zpracovávat zvláštní kategorie osobních údajů bez souhlasu subjektu údajů. Toto zpracování by mělo podléhat vhodným a zvláštním opatřením s cílem chránit práva a svobody fyzických osob. V této souvislosti by mělo být "veřejné zdraví" vykládáno ve smyslu definice v nařízení Evropského parlamentu a Rady (ES) č. 1338/2008 (), totiž jako veškeré prvky týkající se zdraví, zejména zdravotní stav včetně nemocnosti a zdravotního postižení, determinanty ovlivňující tento zdravotní stav, potřeby zdravotní péče, prostředky přidělené na zdravotní péči, poskytování zdravotní péče a její všeobecná dostupnost, výdaje na zdravotní péči a její financování a příčiny úmrtnosti. Takové zpracování údajů o zdravotním stavu z důvodu veřejného zájmu by nemělo vést k tomu, aby třetí strany, jako jsou zaměstnavatelé nebo pojišťovny a bankovní společnosti, zpracovávaly osobní údaje pro jiné účely.
(55) Zpracování osobních údajů orgány veřejné moci za účelem dosažení cílů úředně uznaných náboženských sdružení, které jsou stanoveny ústavním právem nebo mezinárodním právem veřejným, se uskutečňuje z důvodů veřejného zájmu.
(56) Pokud v rámci činností spojených s volbami je pro fungování demokratického systému v členském státě nezbytné, aby politické strany shromažďovaly údaje o politických názorech osob, může být zpracování těchto osobních údajů povoleno z důvodu veřejného zájmu za předpokladu, že jsou stanoveny vhodné záruky.
(57) Pokud správce zpracovává osobní údaje, které mu neumožňují identifikovat fyzickou osobu, neměl by být povinen získat dodatečné informace pro zjištění totožnosti subjektu údajů výlučně za účelem dosažení souladu s některým ustanovením tohoto nařízení. Správce by však neměl odmítnout převzít dodatečné informace poskytnuté subjektem údajů s cílem podpořit výkon jeho práv. Součástí identifikace by měla být digitální identifikace subjektu údajů, například prostřednictvím mechanismu autentizace na základě stejných pověřovacích údajů, které subjekt údajů používá pro přihlášení k on-line službám poskytovaným správcem údajů.
(58) Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek. To platí obzvláště v situacích, kdy zapojení celé řady aktérů a technologická složitost znesnadňují subjektu údajů, aby věděl a porozuměl tomu, zda jsou shromažďovány jeho osobní údaje a kdo a za jakým účelem je shromažďuje, jako je reklama na internetu. Jelikož děti zasluhují zvláštní ochranu, měly by být v případech, kdy je na ně zpracování zaměřeno, všechny informace a sdělení podávány za použití jasných a jednoduchých jazykových prostředků, aby jim děti snadno porozuměly.
(59) Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.
(60) Zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. Subjekt údajů by měl být dále informován o profilování a o jeho důsledcích. Pokud jsou osobní údaje získávány od subjektu údajů, měl by subjekt údajů být rovněž informován, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí. Tyto informace mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasně čitelným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické podobě, měly by být strojově čitelné.
(61) Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů, nebo pokud jsou získávány z jiného zdroje, v přiměřené lhůtě v závislosti na okolnostech případu. Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci. Pokud správce hodlá osobní údaje zpracovat pro jiný účel, než je účel, pro který byly shromážděny, měl by poskytnout subjektu údajů informace o tomto jiném účelu a další nezbytné informace ještě před uvedeným dalším zpracováním. Pokud z důvodu využití různých zdrojů nemůže být subjektu údajů sdělen původ osobních údajů, měly by být poskytnuty obecné informace.
(62) Povinnost poskytnout informace však není třeba ukládat v případech, kdy subjekt údajů již uvedené informace má, nebo kdy zaznamenání či zpřístupnění osobních údajů je výslovně stanoveno právními předpisy, nebo kdy poskytnutí těchto informací subjektu údajů není možné nebo by vyžadovalo neúměrné úsilí. Poskytnutí informací by mohlo vyžadovat neúměrné úsilí zejména tehdy, je-li zpracování prováděno pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. V tomto ohledu by se mělo přihlédnout k počtu subjektů údajů, ke stáří osobních údajů a k přijatým vhodným zárukám.
(63) Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.
(64) Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory. Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti.
(65) Fyzická osoba by měla mít právo na opravu osobních údajů, které se jí týkají, a "právo být zapomenuta", pokud uchovávání těchto údajů porušuje toto nařízení nebo právo Unie či členského státu, které se na správce vztahuje. Subjekt údajů by zejména měl mít právo na to, aby jeho osobní údaje byly vymazány a nebyly dále zpracovávány, pokud již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolal svůj souhlas se zpracováním nebo pokud vznesl námitku proti zpracování osobních údajů, které se jej týkají, anebo pokud je zpracování jeho osobních údajů v rozporu s tímto nařízením z jiných důvodů. Toto právo je obzvláště důležité v případech, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit. Subjekt údajů by měl mít možnost toto právo uplatnit bez ohledu na skutečnost, že již není dítě. Další uchovávání osobních údajů by však mělo být zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.
(66) Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů.
(67) Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.
(68) Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Nemělo by se uplatňovat v případě, kdy je zpracování založeno na jiném právním důvodu, než je souhlas nebo smlouva. Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Proto by se nemělo uplatňovat v případě, kdy je zpracování osobních údajů nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro vykonání úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému.
(69) Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. Mělo by být povinností správce, aby prokázal, že jeho závažné oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů.
(70) Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací.
(71) Subjekt údajů by měl mít právo nebýt předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Takové zpracování zahrnuje "profilování", jehož podstatou je jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Rozhodování založené na takovém zpracování, včetně profilování, by však mělo být umožněno, pokud jej výslovně povoluje právo Unie nebo členského státu, které se na správce vztahuje, mimo jiné pro účely monitorování podvodů a daňových úniků a jejich předcházení, jež jsou v souladu s předpisy, normami a doporučeními orgánů Unie nebo vnitrostátních dozorových úřadů, a s cílem zajistit bezpečnost a spolehlivost služby poskytované správcem, nebo pokud je nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem nebo pokud k tomu subjekt údajů dal svůj výslovný souhlas. V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. Toto opatření by se nemělo týkat dítěte.
V zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů a s přihlédnutím ke konkrétním okolnostem a souvislostem, za kterých se dané osobní údaje zpracovávají, by měl správce použít vhodné matematické nebo statistické postupy profilování, zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, a mimo jiné předcházet diskriminačním účinkům vůči fyzickým osobám na základě rasy nebo etnického původu, politických názorů, náboženského vyznání nebo přesvědčení, členství v odborech, genetických údajů nebo zdravotního stavu či sexuální orientace nebo zamezit zpracování, které by vedlo k opatřením, jež mají takové účinky.
(72) Na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody zpracování nebo zásady ochrany údajů. Evropský sbor pro ochranu osobních údajů zřízený tímto nařízením (dále jen "sbor") by měl mít možnost vydat v této souvislosti pokyny.
(73) Právo Unie nebo členského státu může uložit omezení určitých zásad a práva na informace, na přístup a na opravu nebo na výmaz osobních údajů, práva na přenositelnost osobních údajů, práva vznést námitku, rozhodnutí založených na profilování, jakož i omezení týkající se oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo určitých souvisejících povinností správců, pokud je to v demokratické společnosti nutné a přiměřené pro zachování veřejné bezpečnosti, mimo jiné pro ochranu lidských životů, zejména v reakci na přírodní nebo člověkem způsobené katastrofy, pro předcházení trestným činům nebo jejich vyšetřování či stíhání nebo výkon trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, a pro předcházení porušování deontologických pravidel regulovaných povolání a jejich vyšetřování a stíhání, pro jiné významné cíle obecného veřejného zájmu Unie nebo členského státu, zejména jedná-li se o důležitý hospodářský či finanční zájem Unie nebo členského státu, vedení veřejných rejstříků z důvodů obecného veřejného zájmu, dalšího zpracování archivovaných osobních údajů s cílem poskytnout konkrétní informace související s politickým chováním za bývalého totalitního režimu nebo s ohledem na ochranu subjektu údajů či práv a svobod ostatních, včetně sociální ochrany, veřejného zdraví a humanitárních účelů. Tato omezení by měla být v souladu s požadavky stanovenými v Listině a v Evropské úmluvě o ochraně lidských práv a základních svobod.
(74) Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.
(75) Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.
(76) Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelům zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.
(77) Pokyny pro zavádění vhodných opatření a pro prokázání souladu s požadavky tímto správcem nebo zpracovatelem, zejména pokud jde o zjištění rizika souvisejícího se zpracováním, jeho posouzení z hlediska původu, povahy, pravděpodobnosti a závažnosti, a stanovení osvědčených postupů ke snížení rizika by mohly být stanoveny zejména prostřednictvím schválených kodexů chování, schválených osvědčení, pokynů sboru nebo doporučení pověřence pro ochranu osobních údajů. Sbor může rovněž vydávat pokyny týkající se operací zpracování, u nichž se má za to, že je nepravděpodobné, že by mohly představovat vysoké riziko pro práva a svobody fyzických osob, a stanovit, jaká opatření mohou být v takových případech k řešení podobného rizika postačující.
(78) Pro ochranu práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů je třeba přijmout vhodná technická a organizační opatření, aby se zajistilo splnění požadavků vyplývajících z tohoto nařízení. Aby správce mohl doložit soulad s tímto nařízením, měl by přijmout vnitřní koncepce a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by mohla mimo jiné spočívat v minimalizaci zpracování osobních údajů, co nejrychlejší pseudonymizaci osobních údajů, transparentnosti s ohledem na funkce a zpracování osobních údajů, umožnění subjektům údajů monitorovat zpracování osobních údajů a umožnění správcům vytvářet a zlepšovat bezpečnostní prvky. Pokud jde o vývoj, koncepci, výběr a používání aplikací, služeb a produktů, které jsou založeny na zpracování osobních údajů nebo osobní údaje za účelem plnění svých funkcí zpracovávají, je třeba zhotovitele těchto produktů, služeb a aplikací vybízet k tomu, aby při vývoji a koncipování těchto produktů, služeb a aplikací zohledňovali právo na ochranu údajů a brali náležitý ohled na stav techniky s cílem zajistit, aby správci a zpracovatelé mohli plnit své povinnosti v oblasti ochrany údajů. Zásady záměrné a standardní ochrany osobních údajů by rovněž měly být zohledněny v souvislosti s veřejnými zakázkami.
(79) Ochrana práv a svobod subjektů údajů i odpovědnost správců a zpracovatelů, mimo jiné pokud jde o jejich monitorování a opatření vůči nim přijímaná dozorovými úřady, vyžadují, aby bylo jasně určeno, kdo má plnit jednotlivé povinnosti stanovené v tomto nařízení, včetně případů, kdy správce určuje účely a prostředky zpracování společně s jinými správci nebo kdy je operace zpracování prováděna pro správce.
(80) Pokud správce nebo zpracovatel, který není usazen v Unii, zpracovává osobní údaje subjektů údajů, které se nacházejí v Unii, a tyto činnosti zpracování souvisejí s nabídkou zboží nebo služeb takovým subjektům údajů v Unii bez ohledu na to, zda je vyžadována platba subjektu údajů, nebo souvisejí s monitorováním jejich chování v rozsahu, v němž k tomuto chování dochází v Unii, měl by daný správce nebo zpracovatel jmenovat svého zástupce, ledaže by dotčené zpracování bylo příležitostné, nezahrnovalo by rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů a bylo by nepravděpodobné, že by s ohledem na svou povahu, souvislosti, rozsah a účely mohlo toto zpracování představovat riziko pro práva a svobody fyzických osob, nebo ledaže by správce byl orgánem veřejné moci nebo veřejným subjektem. Zástupce by měl jednat jménem správce nebo zpracovatele a může se něj obracet kterýkoliv dozorový úřad. Zástupce by měl být výslovně jmenován na základě písemného zmocnění správcem nebo zpracovatelem, aby jednal jejich jménem v souvislosti s povinnostmi správce nebo zpracovatele stanovenými tímto nařízením. Jmenováním tohoto zástupce není dotčena odpovědnost správce nebo zpracovatele podle tohoto nařízení. Zástupce by měl vykonávat své úkoly podle zmocnění uděleného správcem nebo zpracovatelem, mimo jiné by měl spolupracovat s příslušnými dozorovými úřady při jakémkoliv úkonu prováděném s cílem zajistit soulad s tímto nařízením. Vůči jmenovanému zástupci by se v případě neplnění povinností správcem nebo zpracovatelem mělo uplatnit vymáhací řízení.
(81) Aby byl zajištěn soulad s požadavky tohoto nařízení v případě zpracování prováděného zpracovatelem jménem správce, měl by správce zpracováním pověřit pouze zpracovatele, kteří poskytují dostatečné záruky, zejména pokud jde o odborné znalosti, spolehlivost a zdroje, že zavedou technická a organizační opatření, která budou splňovat požadavky tohoto nařízení, včetně požadavků na bezpečnost zpracování. Jednou z možností, jak prokázat, že správce plní příslušné povinnosti, je dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení zpracovatelem. Provádění zpracování zpracovatelem by se mělo řídit smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které by zavazovaly zpracovatele vůči správci a v nichž by byl stanoven předmět a doba trvání zpracování, povaha a účely zpracování, typ osobních údajů a kategorie subjektů údajů, s přihlédnutím ke konkrétním úkolům a povinnosti zpracovatele v souvislosti se zpracováním, jež má být provedeno, a riziko pro práva a svobody subjektů údajů. Správce a zpracovatel se mohou rozhodnout, že použijí individuální smlouvu nebo standardní smluvní ustanovení, která přijme buď přímo Komise, nebo dozorový úřad v souladu s mechanismem jednotnosti a poté Komise. Po dokončení zpracování jménem správce by zpracovatel měl na základě rozhodnutí správce osobní údaje vrátit nebo vymazat, jestliže se nepožaduje uložení osobních údajů podle práva Unie nebo členského státu, které se na zpracovatele vztahuje.
(82) Aby správce nebo zpracovatel doložil soulad s tímto nařízením, měl by vést záznamy o činnostech zpracování, za které odpovídá. Každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
(83) V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.
(84) S cílem přispět k zajištění souladu s tímto nařízením v případech, kdy je pravděpodobné, že operace zpracování budou představovat vysoké riziko pro práva a svobody fyzických osob, by měl být správce odpovědný za provedení posouzení vlivu na ochranu osobních údajů, aby vyhodnotil zejména původ, povahu, zvláštnost a závažnost tohoto rizika. Výsledek posouzení by měl být zohledněn při rozhodování o vhodných opatřeních, která by měla být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s tímto nařízením. Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, měl by být před zpracováním konzultován dozorový úřad.
(85) Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, neoprávněné zrušení pseudonymizace, poškození pověsti, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení.
(86) Správce by měl porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření. V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit. Tato oznámení by měla být subjektům údajů učiněna, jakmile je to proveditelné, v úzké spolupráci s dozorovým úřadem a v souladu s pokyny tohoto úřadu nebo jiných příslušných orgánů (například donucovacích orgánů). Například v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné tuto skutečnost subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta.
(87) Mělo by být zjištěno, zda byla zavedena veškerá vhodná technická a organizační opatření, aby se okamžitě stanovilo, zda došlo k porušení zabezpečení osobních údajů, a aby byly dozorový úřad a subjekt údajů neprodleně informovány. Skutečnost, že oznámení bylo provedeno bez zbytečného odkladu, se stanoví zejména s ohledem na povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekt údajů. Toto oznámení může vést k zásahu dozorového úřadu v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení.
(88) Při vytváření podrobných pravidel týkajících se formátu a postupů ohlašování případů porušení zabezpečení osobních údajů by měly být náležitě zohledněny okolnosti porušení, včetně otázky, zda byly osobní údaje chráněny vhodnými technickými opatřeními, jež pravděpodobnost zneužití totožnosti a jiných forem zneužívání účinně omezují. Tato pravidla a postupy by navíc měly vzít v úvahu oprávněné zájmy donucovacích orgánů v případech, kdy by předčasné zpřístupnění mohlo zbytečně ztížit vyšetřování okolností porušení zabezpečení osobních údajů.
(89) Směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům. Tato povinnost přináší administrativní a finanční zátěž, avšak nepřispěla ve všech případech ke zlepšení ochrany osobních údajů. Proto by měla být tato nerozlišená obecná ohlašovací povinnost zrušena a nahrazena účinnými postupy a mechanismy, které by se místo toho zaměřily na takové typy operací zpracování, jež mohou s ohledem na svou povahu, rozsah, kontext a účely představovat vysoké riziko pro práva a svobody fyzických osob. Mezi tyto typy operací zpracování mohou patřit ty, při nichž jsou zejména používány nové technologie, nebo které jsou zcela nového druhu a u nichž správce dosud neprovedl posouzení vlivu na ochranu osobních údajů, nebo které se staly nezbytnými z důvodu času, který uplynul od prvotního zpracování.
(90) V těchto případech by měl správce před zpracováním provést posouzení vlivu na ochranu osobních údajů s cílem posoudit konkrétní pravděpodobnost a závažnost vysokého rizika a zohlednit přitom povahu, rozsah, kontext a účely zpracování a zdroje rizika. Toto posouzení vlivu by mělo zejména obsahovat zamýšlená opatření, záruky a mechanismy pro snížení tohoto rizika, pro zajištění ochrany osobních údajů a prokázání souladu s tímto nařízením.
(91) To by mělo platit zejména pro rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko, například vzhledem k jejich citlivosti, pokud se v souladu s dosaženou úrovní technických znalostí použije ve velkém rozsahu nová technologie, jakož i pro jiné operace zpracování, které představují vysoké riziko pro práva a svobody subjektů údajů, zejména v případech, kdy s ohledem na tyto operace je pro subjekty údajů obtížnější uplatnit svá práva. Posouzení vlivu na ochranu osobních údajů by mělo být vypracováno i v případech, kdy se osobní údaje zpracovávají za účelem přijetí rozhodnutí o konkrétních fyzických osobách v návaznosti na jakékoliv systematické a rozsáhlé hodnocení osobních aspektů týkajících se fyzických osob na základě profilování těchto údajů nebo v návaznosti na zpracování zvláštních kategorií osobních údajů, biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních. Posouzení vlivu na ochranu osobních údajů je rovněž zapotřebí v případě monitorování veřejně přístupných prostor prováděného ve velkém rozsahu, zejména pokud se k němu používá optických elektronických přístrojů, nebo v případě jakýchkoliv jiných operací, kdy má příslušný dozorový úřad za to, že je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody subjektů údajů, zejména proto, že tyto úkony brání subjektům údajů v uplatňování některého z jejich práv nebo v používání některé služby či smlouvy, nebo proto, že jsou prováděny systematicky a ve velkém rozsahu. Zpracování osobních údajů by nemělo být považováno za zpracování velkého rozsahu, pokud se jedná o zpracování osobních údajů pacientů nebo klientů jednotlivými lékaři, zdravotníky nebo právníky. V takových případech by posouzení vlivu na ochranu osobních údajů nemělo být povinné.
(92) Za určitých okolností může být přiměřené a účelné, aby byl předmět posouzení vlivu na ochranu osobních údajů širší a nevztahoval se pouze na jeden projekt, například když orgány veřejné moci nebo veřejné subjekty mají v úmyslu vytvořit společnou aplikaci nebo platformu zpracování, nebo když několik správců hodlá zavést společnou aplikaci nebo zpracovatelské prostředí pro celé průmyslové odvětví nebo pro určitý segment nebo pro široce užívanou horizontální činnost.
(93) V souvislosti s přijetím právního předpisu členského státu, na jehož základě orgán veřejné moci nebo veřejný subjekt plní své úkoly a který danou operaci nebo soubor operací zpracování upravuje, mohou členské státy považovat za nutné provést výše uvedené posouzení před činnostmi zpracování.
(94) Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat s dozorovým úřadem. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Dozorový úřad by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že dozorový úřad v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah tohoto úřadu prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací může být výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, předložen dozorovému úřadu, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.
(95) Zpracovatel by měl být v případě potřeby a na požádání správci nápomocen při zajišťování dodržování povinností vyplývajících z provádění posouzení vlivu na ochranu osobních údajů a z předchozí konzultace s dozorovým úřadem.
(96) V průběhu příprav legislativního nebo regulačního opatření, jímž bude stanoveno zpracování osobních údajů, by měl být rovněž konzultován dozorový úřad, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů.
(97) Pokud je zpracování prováděno orgánem veřejné moci, s výjimkou soudů nebo nezávislých justičních orgánů jednajících v rámci svých justičních pravomocí, pokud jej v soukromém sektoru provádí správce, jehož hlavní činnosti spočívají v operacích zpracování, jež vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu nebo pokud hlavní činnosti správce nebo zpracovatele spočívají ve zpracování zvláštních kategorií osobních údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů, měla by být správci nebo zpracovateli při monitorování toho, zda je zajištěn vnitřní soulad s tímto nařízením, nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. V soukromém sektoru souvisejí hlavní činnosti správce s jeho základními činnostmi a nevztahují se na zpracování osobních údajů jakožto pomocnou činnost. Potřebná úroveň odborných znalostí by se měla určit zejména podle prováděných operací zpracování a podle ochrany, která se vyžaduje pro osobní údaje zpracovávané správcem nebo zpracovatelem. Tito pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.
(98) Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob.
(99) Při vypracovávání kodexu chování nebo při jeho změně či rozšíření by sdružení a jiné subjekty zastupující různé kategorie správců nebo zpracovatelů měly konzultovat příslušné zúčastněné strany, pokud možno i subjekty údajů, a měly by zohledňovat návrhy a stanoviska vyjádřené v reakci na tyto konzultace.
(100) S cílem zvýšit transparentnost a lépe zajistit soulad s tímto nařízením je třeba vybízet k zavedení mechanismů pro vydávání osvědčení, jakož i pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly u příslušných produktů a služeb rychle posoudit úroveň ochrany údajů.
(101) Pro rozvoj mezinárodního obchodu a mezinárodní spolupráce jsou nezbytné toky osobních údajů do zemí mimo Unii a do mezinárodních organizací a z těchto zemí a organizací. Nárůst těchto toků s sebou přinesl nové výzvy a obavy týkající se ochrany osobních údajů. Pokud jsou však osobní údaje předávány z Unie správcům, zpracovatelům nebo jiným příjemcům ve třetích zemích nebo v mezinárodních organizacích, neměla by být úroveň ochrany fyzických osob zajištěná v Unii tímto nařízením oslabována, a to ani v případech dalšího předání osobních údajů ze třetí země nebo mezinárodní organizace správcům nebo zpracovatelům ve stejné nebo jiné třetí zemi nebo mezinárodní organizaci. V každém případě lze předání do třetích zemí a mezinárodním organizacím provést pouze za plného dodržování tohoto nařízení. K předání by mělo docházet pouze tehdy, pokud s výhradou ostatních ustanovení tohoto nařízení správce nebo zpracovatel splňují podmínky stanovené v tomto nařízení vztahující se na předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
(102) Tímto nařízením nejsou dotčeny mezinárodní dohody uzavřené mezi Unií a třetími zeměmi o předávání osobních údajů, které zahrnují vhodné záruky pro subjekty údajů. Členské státy mohou uzavírat mezinárodní dohody, které zahrnují předání osobních údajů do třetích zemí nebo mezinárodním organizacím, pokud takové dohody nemají vliv na toto nařízení nebo jakákoliv jiná ustanovení práva Unie a obsahují odpovídající úroveň ochrany základních práv subjektů údajů.
(103) Komise by měla být schopna s účinkem pro celou Unii rozhodnout, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace poskytují odpovídající úroveň ochrany osobních údajů, a zajistit tak právní jistotu a jednotný přístup v celé Unii ve vztahu k dané třetí zemi nebo mezinárodní organizaci, u níž se má za to, že takovou úroveň ochrany poskytuje. V těchto případech by mělo být možné předat osobní údaje do této země nebo této mezinárodní organizaci bez potřeby získat další povolení. Komise by měla být schopna rovněž rozhodnout o zrušení takového rozhodnutí, pokud o tom dotčenou třetí zemi nebo mezinárodní organizaci vyrozumí s plným uvedením důvodů.
(104) V souladu se základními hodnotami, na kterých je Unie založena a mezi něž patří zejména ochrana lidských práv, by Komise měla při svém hodnocení určité třetí země nebo určitého území nebo konkrétního odvětví v určité třetí zemi zohlednit skutečnost, jak tato třetí země dodržuje zásady právního státu a přístupu ke spravedlnosti, jakož i mezinárodní normy a standardy v oblasti lidských práv a příslušné obecné a odvětvové právní předpisy, včetně právních předpisů týkajících se veřejné bezpečnosti, obrany a národní bezpečnosti, jakož i veřejného pořádku a trestního práva. Přijetí rozhodnutí o odpovídající ochraně ve vztahu k určitému území nebo konkrétnímu odvětví v určité třetí zemi by mělo zohlednit jasná a objektivní kritéria, jako jsou určité činnosti zpracování a oblast působnosti použitelných právních standardů a právních předpisů platných v dané třetí zemi. Třetí země by měla nabídnout záruky zajišťující odpovídající úroveň ochrany v zásadě rovnocennou úrovni ochrany zajištěné v Unii, zejména pokud jsou osobní údaje zpracovávány v jednom nebo více konkrétních odvětvích. Daná třetí země by zejména měla zajistit účinný nezávislý dozor nad ochranou údajů a měla by stanovit mechanismy spolupráce s úřady členských států pro ochranu osobních údajů, přičemž subjektům údajů by měla být poskytnuta účinná a vymahatelná práva a účinná správní a soudní ochrana.
(105) Vedle mezinárodních závazků, které daná třetí země nebo mezinárodní organizace přijala, by Komise měla zohlednit povinnosti vyplývající z účasti dané třetí země nebo mezinárodní organizace na mnohostranných nebo regionálních systémech, zejména ve vztahu k ochraně osobních údajů, jakož i plnění těchto povinností. Zohledněno by mělo být zejména přistoupení dané třetí země k Úmluvě Rady Evropy ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat a jejímu dodatkovému protokolu. Komise by měla při posuzování úrovně ochrany ve třetích zemích nebo mezinárodních organizacích konzultovat sbor.
(106) Komise by měla monitorovat fungování rozhodnutí o úrovni ochrany v určité třetí zemi, na určitém území či v konkrétním odvětví v určité třetí zemi nebo v určité mezinárodní organizaci a fungování rozhodnutí přijatých na základě čl. 25 odst. 6 nebo čl. 26 odst. 4 směrnice 95/46/ES. Ve svých rozhodnutích o odpovídající ochraně by Komise měla stanovit mechanismus pravidelného přezkumu jejich fungování. Tento pravidelný přezkum by měl probíhat za konzultace s dotčenou třetí zemí nebo mezinárodní organizací a měl by zohlednit veškerý relevantní vývoj v dané třetí zemi nebo mezinárodní organizaci. Pro účely monitorování a provádění pravidelných přezkumů by Komise měla zohlednit názory a zjištění Evropského parlamentu a Rady, jakož i jiné příslušné orgány a zdroje. Komise by měla v přiměřené lhůtě vyhodnotit fungování posledně uvedených rozhodnutí a veškerá relevantní zjištění sdělovat výboru ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 182/2011 (), jak je stanoven v tomto nařízení, Evropskému parlamentu a Radě.
(107) Komise by měla být schopna konstatovat, že určitá třetí země, určité území či konkrétní odvětví v určité třetí zemi nebo určitá mezinárodní organizace již odpovídající úroveň ochrany údajů nezajišťuje. Předání osobních údajů do této třetí země nebo této mezinárodní organizaci by tudíž mělo být povoleno, jen pokud jsou splněny požadavky článků tohoto nařízení týkající se předání na základě vhodných záruk, závazných podnikových pravidel a odchylek ve zvláštních situacích. V tomto případě by měly být stanoveny konzultace mezi Komisí a těmito třetími zeměmi nebo mezinárodními organizacemi. Komise by měla včas informovat danou třetí zemi nebo mezinárodní organizaci o důvodech a zahájit s ní konzultace za účelem nápravy situace.
(108) Nebude-li přijato rozhodnutí o odpovídající ochraně, měl by správce nebo zpracovatel v zájmu odstranění nedostatků v oblasti ochrany údajů ve třetí zemi přijmout opatření, která subjektu údajů poskytnou vhodné záruky. Tyto vhodné záruky mohou spočívat ve využívání závazných podnikových pravidel, standardních doložek o ochraně údajů přijatých Komisí, standardních doložek o ochraně údajů přijatých dozorovým úřadem nebo smluvních doložek jím schválených. Tyto záruky by měly zajistit splnění požadavků na ochranu údajů a dodržení práv subjektů údajů v rozsahu odpovídajícím zpracování v Unii, včetně dostupnosti vymahatelných práv subjektu údajů a účinné právní ochrany, včetně práva na účinnou správní nebo soudní ochranu a na požadování náhrady škody v Unii nebo ve třetí zemi. Měly by se týkat zejména souladu s obecnými zásadami pro zpracování osobních údajů a zásad záměrné a standardní ochrany osobních údajů. Předání mohou provést rovněž orgány veřejné moci nebo veřejné subjekty s orgány veřejné moci nebo veřejný subjekty ve třetích zemích nebo s mezinárodními organizacemi s odpovídajícími povinnostmi nebo funkcemi, a to i na základě ustanovení, která mají být vložena do správních ujednání, jako je memorandum o porozumění, a která stanoví vymahatelná a účinná práva subjektů údajů. Povolení příslušného dozorového úřadu by mělo být obdrženo, jestliže jsou záruky stanoveny ve správních ujednáních.
(109) Skutečnost, že správci a zpracovatelé mohou používat standardní doložky o ochraně údajů přijaté Komisí nebo dozorovým úřadem, by neměla správcům ani zpracovatelům bránit v tom, aby zahrnuli standardní doložky o ochraně údajů i do rozsáhlejších smluv, jako je smlouva mezi zpracovatelem a dalším zpracovatelem, nebo doplnili jiné doložky či další záruky, pokud tyto nejsou v přímém nebo nepřímém rozporu se standardními smluvními doložkami přijatými Komisí nebo dozorovým úřadem nebo pokud se nedotýkají základních práv či svobod subjektů údajů. Správci a zpracovatelé by měli být vybízeni k poskytování dalších záruk prostřednictvím smluvních závazků, které doplní standardní doložky o ochraně údajů.
(110) Skupina podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost by měly mít možnost používat pro mezinárodní předávání údajů z Unie organizacím ve stejné skupině podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost schválená závazná podniková pravidla za podmínky, že tato pravidla obsahují veškeré základní zásady a vymahatelná práva v zájmu zajištění vhodných záruk pro předávání nebo kategorie předávání osobních údajů.
(111) Měla by být stanovena možnost předat údaje za určitých okolností, pokud subjekt údajů dal svůj výslovný souhlas nebo pokud je předání příležitostné a nezbytné v souvislosti se smluvními či právními nároky, bez ohledu na to, zda probíhá v soudním řízení nebo ve správním či jakémkoli mimosoudním řízení, včetně řízení před regulačními orgány. Rovněž by měla být stanovena možnost převádět údaje, pokud je to nutné z důležitých důvodů veřejného zájmu stanovených právem Unie nebo členského státu nebo pokud je předání prováděno z rejstříku zřízeného na základě právních předpisů a určeného k nahlížení pro veřejnost nebo osoby s oprávněným zájmem. V tomto případě by se takové předání nemělo týkat všech osobních údajů ani celých kategorií osobních údajů obsažených v tomto rejstříku, a pokud má být rejstřík přístupný osobám s oprávněným zájmem, mělo by být předání uskutečněno pouze na žádost těchto osob nebo pokud jsou tyto osoby jejich příjemci, přičemž je třeba plně zohlednit zájmy a základní práva subjektu údajů.
(112) Tyto výjimky by se měly uplatnit zejména v případech, kdy je předání údajů vyžadováno a je nutné z důležitých důvodů veřejného zájmu, například v případech mezinárodní výměny údajů mezi orgány pro hospodářskou soutěž, daňovými či celními správami, orgány finančního dohledu, útvary příslušnými v oblasti sociálního zabezpečení nebo veřejného zdraví, například v případě vysledování kontaktů v souvislosti s nakažlivými chorobami nebo za účelem omezení nebo odstranění dopingu ve sportu. Předání osobních údajů by mělo být považováno za zákonné rovněž tehdy, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné osoby, včetně fyzické integrity nebo života, není-li subjekt údajů schopen udělit souhlas. V případě neexistence rozhodnutí o odpovídající ochraně může právo Unie nebo členského státu z důležitých důvodů veřejného zájmu výslovně stanovit omezení předání konkrétních kategorií údajů třetí zemi nebo mezinárodní organizaci. Členské státy by taková ustanovení měly oznámit Komisi. Jakékoliv předání osobních údajů subjektu údajů, který není fyzicky nebo právně způsobilý udělit souhlas s předáním, mezinárodní humanitární organizaci za účelem vykonání úkolu svěřeného na základě ženevských úmluv nebo uplatňování mezinárodního humanitárního práva použitelného v ozbrojených konfliktech by mohlo být považováno za nezbytné z důležitého důvodu veřejného zájmu nebo z důvodu životně důležitého zájmu subjektu údajů.
(113) Předání, o nichž lze konstatovat, že nejsou opakovaná a že se týkají pouze omezeného počtu subjektů údajů, by rovněž mohla být uskutečňována pro účely závažných oprávněných zájmů správce, pokud nad těmito zájmy nepřevažují zájmy nebo práva a svobody subjektu údajů a pokud správce posoudil všechny okolnosti daného předání údajů. Správce by měl zvážit zvláště povahu osobních údajů, účel a dobu trvání navrhované operace nebo operací zpracování, jakož i situaci v zemi původu, v dané třetí zemi a v zemi konečného určení, a měl by poskytnout vhodné záruky pro ochranu základních práv a svobod fyzických osob, pokud jde o zpracování jejich osobních údajů. Taková předání by měla být možná pouze v okrajových případech, kdy se nepoužije žádný z ostatních důvodů pro převod. Pro účely vědeckého či historického výzkumu nebo pro statistické účely by měla být zohledněna oprávněná očekávání společnosti ohledně zvyšování znalostí. Správce by o takovém předání měl informovat dozorový úřad a subjekt údajů.
(114) Pokud Komise nepřijala rozhodnutí o odpovídající úrovni ochrany údajů ve třetí zemi, správce nebo zpracovatel by měl v každém případě využít řešení, která subjektům údajů poskytnou vymahatelná a účinná práva, pokud jde o zpracování jejich osobních údajů v Unii po jejich předání, tak aby i nadále požívali základních práv a záruk.
(115) Některé třetí země přijímají právní předpisy a jiné právní akty, které mají přímo upravovat činnosti zpracování fyzickými a právnickými osobami spadající do pravomoci členských států. Může se mimo jiné jednat o rozsudky soudů či rozhodnutí správních orgánů ve třetích zemích, v nichž se od správce nebo zpracovatele vyžaduje předání či zpřístupnění osobních údajů a které nejsou založeny na platných mezinárodních dohodách, jako je například smlouva o vzájemné právní pomoci, mezi danou třetí zemí a Unií nebo členským státem. Extrateritoriální používání těchto právních předpisů a jiných právních aktů může být v rozporu s mezinárodním právem a znesnadnit zajištění ochrany fyzických osob zajištěné v Unii tímto nařízením. Předání údajů by mělo být povoleno jen tehdy, jsou-li splněny podmínky předání údajů do třetích zemí stanovené v tomto nařízení. Tak tomu může být mimo jiné v případě, kdy je sdělení údajů nezbytné z důležitého důvodu veřejného zájmu, jenž je uznán v právu Unie nebo členského státu, které se na správce vztahuje.
(116) Předání osobních údajů přes hranice mimo území Unie může fyzické osoby vystavit zvýšenému riziku, že nebudou moci uplatnit svá práva na ochranu osobních údajů, a zejména se chránit před protiprávním použitím nebo poskytnutím těchto údajů. Zároveň se může stát, že dozorové úřady nebudou schopny vyřizovat stížnosti nebo provádět šetření týkající se činností prováděných za hranicemi svého státu. Překážkou pro jejich úsilí o přeshraniční spolupráci mohou být také nedostatečné preventivní nebo nápravné pravomoci, rozdíly v právní úpravě a praktické překážky, například omezené zdroje. Proto je třeba podporovat užší spolupráci mezi dozorovými úřady zabývajícími se ochranou osobních údajů s cílem napomoci jim při výměně informací a provádění šetření ve spolupráci s příslušnými mezinárodními partnery. Pro účely vypracování mechanismů mezinárodní spolupráce s cílem usnadnit a poskytovat vzájemnou mezinárodní pomoc při prosazování právních předpisů na ochranu osobních údajů by si Komise a dozorové úřady měly při činnostech souvisejících s výkonem svých pravomocí vyměňovat informace a spolupracovat s příslušnými orgány ve třetích zemích, na základě vzájemnosti a v souladu s tímto nařízením.
(117) Zásadním prvkem ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zřízení dozorových úřadů, jež mohou v členských státech plnit své úkoly a vykonávat své pravomoci zcela nezávisle. Členské státy by měly mít možnost zřídit více než jeden dozorový úřad, aby zohlednily své ústavní, organizační a správní uspořádání.
(118) Nezávislost dozorových úřadů by neměla znamenat, že se na ně nemůže vztahovat mechanismus kontroly nebo monitorování, pokud jde o jejich finanční výdaje, nebo soudní přezkum.
(119) Pokud členský stát zřídí více dozorových úřadů, měl by právním předpisem zavést mechanismy, které zajistí jejich účinnou účast v mechanismu jednotnosti. Tento členský stát by měl zejména určit dozorový úřad, který bude fungovat jako jediné kontaktní místo pro účinnou účast těchto úřadů v mechanismu, s cílem zajistit rychlou a plynulou spolupráci s ostatními dozorovými úřady, sborem a Komisí.
(120) Každému dozorovému úřadu by měly být poskytnuty finanční a lidské zdroje, prostory a infrastruktura, které potřebuje pro účinné plnění svých úkolů, včetně úkolů souvisejících se vzájemnou pomocí a spoluprací s jinými dozorovými úřady v celé Unii. Každý dozorový úřad by měl mít samostatný veřejný roční rozpočet, který může být součástí celkového zemského nebo státního rozpočtu.
(121) Obecné podmínky pro člena nebo členy dozorového úřadu by měly být v každém členském státě upraveny právním předpisem, a zejména by měly stanovit, že tito členové mají být jmenováni transparentním způsobem parlamentem, vládou nebo hlavou dotčeného členského státu na návrh vlády nebo člena vlády, parlamentu nebo jeho komory, anebo nezávislým subjektem pověřeným právem členského státu. V zájmu zajištění nezávislosti dozorového úřadu by jeho člen nebo členové měli jednat poctivě a zdržet se jakéhokoliv jednání neslučitelného s výkonem jejich funkce a během svého funkčního období by neměli vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí. Dozorový úřad by měl mít vlastní pracovníky, které vybere dozorový úřad nebo nezávislý orgán zřízený podle práva členského státu a kteří by měli podléhat výhradně vedení člena či členů daného dozorového úřadu.
(122) Každý dozorový úřad by měl být na území svého vlastního členského státu příslušný k výkonu pravomocí a plnění úkolů, které mu byly svěřeny v souladu s tímto nařízením. To by se mělo týkat zejména zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele na území jejich vlastního členského státu, zpracování osobních údajů prováděného orgány veřejné moci nebo soukromými subjekty jednajícími ve veřejném zájmu, zpracování dotýkajícího se subjektů údajů na jeho území nebo zpracování prováděného správcem či zpracovatelem, který není usazen v Unii, v případě zacílení na subjekty údajů mající bydliště na jeho území. To by dále mělo zahrnovat vyřizování stížností podaných subjekty údajů, provádění šetření ohledně uplatňování tohoto nařízení a zvyšování povědomí veřejnosti o rizicích, pravidlech, zárukách a právech, pokud jde o zpracování osobních údajů.
(123) Dozorové úřady by měly sledovat uplatňování ustanovení tohoto nařízení a přispívat k jejich jednotnému uplatňování v celé Unii s cílem chránit fyzické osoby v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů v rámci vnitřního trhu. Za tímto účelem by dozorové úřady měly spolupracovat mezi sebou a s Komisí, aniž by byla zapotřebí jakákoliv dohoda mezi členskými státy o poskytování vzájemné pomoci nebo o takové spolupráci.
(124) Pokud ke zpracování osobních údajů dochází v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii a tento správce nebo zpracovatel je usazen ve více než jednom členském státě, nebo pokud zpracování prováděné v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii se podstatně dotýká či pravděpodobně dotkne subjektů údajů ve více než jednom členském státě, měl by úlohu vedoucího dozorového úřadu plnit dozorový úřad pro hlavní provozovnu správce či zpracovatele nebo pro jedinou provozovnu správce či zpracovatele. Měl by spolupracovat s ostatními dotčenými dozorovými úřady vzhledem k tomu, že správce nebo zpracovatel má na území jejich členského státu provozovnu, že subjekty údajů mající bydliště na jejich území jsou podstatně dotčeny, nebo že u těchto úřadů byla podána stížnost. Rovněž v případě, kdy subjekt údajů nemající bydliště v daném členském státě podal stížnost, měl by být dozorový úřad, u nějž byla taková stížnost podána, rovněž dotčeným dozorovým úřadem. V rámci svých úkolů vydávat pokyny k veškerým otázkám týkajícím se uplatňování tohoto nařízení by měl mít sbor možnost vydávat pokyny, zejména ohledně kritérií, která je třeba zohlednit za účelem zjištění, zda jsou daným zpracováním podstatně dotčeny subjekty údajů ve více než jednom členském státě, a ohledně toho, co se rozumí relevantní a odůvodněnou námitkou.
(125) Vedoucí dozorový úřad by měl být příslušný k přijímání závazných rozhodnutí o opatřeních, aby tak uplatnil pravomoci, které svěřuje toto nařízení. Ve své funkci vedoucího dozorového úřadu by měl do rozhodovacího procesu úzce zapojit dotčené dozorové úřady a jejich činnost koordinovat. Pokud se rozhodne o zamítnutí stížnosti subjektu údajů zcela či částečně, měl by toto rozhodnutí přijmout dozorový úřad, u nějž byla stížnost podána.
(126) Rozhodnutí by mělo být odsouhlaseno společně vedoucím dozorovým úřadem a dotčenými dozorovými úřady, mělo by být určeno hlavní či jediné provozovně správce nebo zpracovatele a mělo by být pro správce i zpracovatele závazné. Správce nebo zpracovatel by měl přijmout opatření nezbytná k zajištění souladu s tímto nařízením a provádění rozhodnutí oznámeného vedoucím dozorovým úřadem hlavní provozovně správce nebo zpracovatele, pokud jde o zpracování prováděné v Unii.
(127) Každý dozorový úřad, který nejedná jako vedoucí dozorový úřad, by měl být příslušný k projednávání místních případů, kdy je správce nebo zpracovatel usazen ve více než jednom členském státě, avšak předmět určitého zpracování se týká pouze zpracování prováděného v jediném členském státě a zahrnuje pouze subjekty údajů v tomto jediném členském státě, například jsou-li předmětem zpracování osobní údaje zaměstnanců v konkrétním zaměstnaneckém kontextu určitého členského státu. V takových případech by měl tento dozorový úřad o této záležitosti neprodleně informovat vedoucí dozorový úřad. Po obdržení těchto informací by měl vedoucí dozorový úřad rozhodnout, zda se bude danou záležitostí zabývat podle ustanovení o spolupráci mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady, či zda se jí má na místní úrovni zabývat dozorový úřad, který vedoucí dozorový úřad informoval. Při rozhodování o tom, zda se bude záležitostí zabývat, by měl vedoucí dozorový úřad zohlednit, zda se v členském státě dozorového úřadu, který jej informoval, nachází provozovna správce nebo zpracovatele, s cílem zajistit účinný výkon rozhodnutí vůči správci nebo zpracovateli. Pokud vedoucí dozorový úřad rozhodne, že se záležitostí zabývat bude, měl by mít dozorový úřad, který jej informoval, možnost předložit návrh rozhodnutí, které by vedoucí dozorový úřad měl co nejvíce zohlednit při přípravě svého návrhu rozhodnutí v rámci tohoto mechanismu jediného kontaktního místa.
(128) Pravidla týkající se vedoucího dozorového úřadu a mechanismu jediného kontaktního místa by se neměla vztahovat na případy, kdy zpracování provádějí orgány veřejné moci nebo soukromé subjekty ve veřejném zájmu. V takových případech by jediným dozorovým úřadem příslušným k výkonu pravomocí, které mu byly svěřeny podle tohoto nařízení, měl být dozorový úřad členského státu, v němž je orgán veřejné moci či soukromý subjekt usazen.
(129) Aby se zajistilo jednotné monitorování a prosazování tohoto nařízení v celé Unii, měly by mít dozorové úřady v každém členském státě tytéž úkoly a účinné pravomoci, včetně pravomocí provádět šetření, ukládat nápravná opatření a sankce, vydávat povolení a poskytovat poradenství, zejména v případech stížností fyzických osob, a aniž jsou dotčeny pravomoci orgánů příslušných podávat obžalobu podle práva členského státu, pravomoci upozorňovat justiční orgány na porušení tohoto nařízení a obrátit se na soud. Mezi tyto pravomoci by měla rovněž patřit pravomoc vydávat dočasné nebo trvalé omezení zpracování, včetně jeho zákazu. Členské státy mohou vymezit další úkoly související s ochranou osobních údajů podle tohoto nařízení. Pravomoci dozorových úřadů by měly být vykonávány v souladu s vhodnými procesními zárukami stanovenými v právu Unie a členského státu, nestranně, spravedlivě a v přiměřených lhůtách. Každé opatření by zejména mělo být vhodné, nezbytné a přiměřené, aby byl s přihlédnutím k okolnostem každého jednotlivého případu zajištěn soulad s tímto nařízením, mělo by respektovat právo všech osob být vyslechnuty dříve, než bude přijato jakékoliv individuální opatření, které by na ně mělo nepříznivý dopad, a nemělo by pro dotčené osoby znamenat zbytečné náklady a přílišné obtíže. Pravomoci provádět šetření, pokud jde o přístup do prostor, by měly být vykonávány v souladu s příslušnými požadavky procesního práva členského státu, jako je například požadavek obstarat si předem soudní povolení. Každé právně závazné opatření dozorového úřadu by mělo mít písemnou formu, být jasné a jednoznačné, uvádět dozorový úřad, který je vydal, a datum svého vydání, mělo by být opatřeno podpisem vedoucího či vedoucím zmocněného člena dozorového úřadu a obsahovat odůvodnění opatření a odkaz na právo na účinnou právní ochranu. Tím by však neměly být vyloučeny další požadavky podle procesního práva členského státu. Přijetí právně závazného rozhodnutí znamená, že může dojít k soudnímu přezkumu v členském státě dozorového úřadu, který rozhodnutí přijal.
(130) Pokud dozorový úřad, jemuž byla stížnost podána, není vedoucím dozorovým úřadem, měl by s ním vedoucí dozorový úřad úzce spolupracovat v souladu s ustanoveními o spolupráci a jednotnosti obsaženými v tomto nařízení. V těchto případech by vedoucí dozorový úřad měl při přijetí opatření s právními účinky, včetně uložení správních pokut, v maximální míře zohlednit stanovisko dozorového úřadu, jemuž byla stížnost podána a jenž by měl i nadále mít pravomoc provádět společně s příslušným dozorovým úřadem jakékoliv šetření na území svého členského státu.
(131) V případech, kdy by měl jiný dozorový úřad jednat jako vedoucí dozorový úřad pro činnosti zpracování prováděné správcem nebo zpracovatelem, ale kdy se konkrétní předmět stížnosti nebo možné porušení týkají pouze činností zpracování prováděných správcem či zpracovatelem v tom členském státě, v němž byla stížnost podána nebo zjištěno možné porušení, a daná záležitost se podstatným způsobem nedotýká či pravděpodobně nedotkne subjektů údajů v dalších členských státech, by dozorový úřad, jenž obdržel stížnost nebo odhalil situace, které představují možné porušení tohoto nařízení, nebo byl o těchto situacích informován jiným způsobem, měl usilovat o smírné řešení se správcem, a nebude-li v tomto úsilí úspěšný, měl by uplatnit veškerou škálu svých pravomocí. Mělo by sem mimo jiné patřit zvláštní zpracování prováděné na území členského státu daného dozorového úřadu nebo zpracování týkající se subjektů údajů na území tohoto členského státu, zpracování prováděné v souvislosti s nabídkou zboží nebo služeb konkrétně zaměřenou na subjekty údajů na území členského státu daného dozorového úřadu, nebo zpracování, které musí být posouzeno s ohledem na příslušné právní závazky podle práva členského státu.
(132) Činnosti dozorových úřadů, jejichž cílem je zvyšování povědomí veřejnosti, by měly zahrnovat specifická opatření zaměřená na správce a zpracovatele, včetně mikropodniků a malých a středních podniků, jakož i na fyzické osoby, zejména v kontextu vzdělávání.
(133) Dozorové úřady by si při plnění svých úkolů měly být vzájemně nápomocny, aby bylo zajištěno jednotné uplatňování a prosazování tohoto nařízení na vnitřním trhu. Dozorový úřad, který požádal o vzájemnou pomoc, může přijmout prozatímní opatření, pokud neobdrží odpověď na žádost o vzájemnou pomoc do jednoho měsíce od obdržení této žádosti jiným dozorovým úřadem.
(134) Každý dozorový úřad by se měl ve vhodných případech účastnit společných postupů dozorových úřadů. Dožádaný dozorový úřad by měl mít povinnost reagovat na žádost ve stanovené lhůtě.
(135) Aby bylo zajištěno jednotné uplatňování tohoto nařízení v celé Unii, měl by být zaveden mechanismus jednotnosti pro spolupráci mezi dozorovými úřady. Tento mechanismus by se měl použít především tehdy, má-li některý dozorový úřad v úmyslu přijmout opatření s právními účinky ve vztahu k operacím zpracování, které se podstatně dotýkají významného počtu subjektů údajů v několika členských státech. Měl by se použít také v případě, kdy kterýkoli dotčený dozorový úřad nebo Komise žádají, aby byla daná záležitost vyřešena v rámci mechanismu jednotnosti. Tímto mechanismem by neměla být dotčena jiná opatření, která by Komise mohla přijmout při výkonu svých pravomocí podle Smluv.
(136) Při použití mechanismu jednotnosti by sbor měl ve stanovené lhůtě vydat stanovisko, pokud tak rozhodne většina jeho členů nebo pokud o to požádá kterýkoli dotčený dozorový úřad či Komise. Sbor by rovněž měl být zmocněn k přijímání právně závazných rozhodnutí v případě sporů mezi dozorovými úřady. Pro tyto účely by měl vydávat v zásadě se souhlasem dvoutřetinové většiny svých členů právně závazná rozhodnutí v jasně určených případech, kdy mezi dozorovými úřady existují protikladná stanoviska, zejména v rámci mechanismu spolupráce mezi vedoucím dozorovým úřadem a dotčenými dozorovými úřady, pokud jde o podstatu věci, zejména o to, zda došlo k porušení tohoto nařízení.
(137) Může se vyskytnout naléhavá potřeba konat z důvodu ochrany práv a svobod subjektů údajů, zejména pokud hrozí, že výkon některého z práv subjektu údajů by mohl být značně ztížen. Dozorový úřad by proto měl mít možnost v řádně odůvodněných případech přijmout na svém území prozatímní opatření se stanovenou dobou platnosti, která by neměla být delší než tři měsíce.
(138) Použití takového mechanismu by mělo být podmínkou legality opatření s právními účinky přijatého dozorovým úřadem v těch případech, kdy je jeho použití povinné. V ostatních případech s přeshraničním rozměrem by se měl použít mechanismus spolupráce mezi vedoucím dozorovým úřadem a dotčenými dozorovými úřady a dotčené dozorové úřady by si na dvoustranné nebo mnohostranné úrovni mohly poskytovat vzájemnou pomoc a provádět společné postupy, aniž by mechanismus jednotnosti použily.
(139) Za účelem podpory důsledného uplatňování tohoto nařízení by sbor měl být zřízen jako nezávislý subjekt Unie. Aby sbor mohl plnit své cíle, měl by mít právní subjektivitu. Sbor by měl zastupovat jeho předseda. Sbor by měl nahradit pracovní skupinu pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů, zřízenou směrnicí 95/46/ES. Měl by být složen z vedoucího dozorového úřadu každého členského státu a evropského inspektora ochrany údajů nebo jejich příslušných zástupců. Komise by se měla na jeho činnosti sboru podílet bez hlasovacího práva a evropský inspektor ochrany údajů by měl mít zvláštní hlasovací práva. Sbor by měl přispívat k jednotnému uplatňování tohoto nařízení v celé Unii, například poskytovat Komisi poradenství, zejména ohledně úrovně ochrany ve třetích zemích nebo v mezinárodních organizacích, a podporovat spolupráci dozorových úřadů v celé Unii. Sbor by měl při plnění svých úkolů jednat nezávisle.
(140) Sboru by měl být nápomocen sekretariát, jehož služby zajistí evropský inspektor ochrany údajů. Pracovníci evropského inspektora ochrany údajů podílející se na plnění úkolů svěřených sboru tímto nařízením by měli své úkoly plnit výhradně na základě pokynů a pod vedením předsedy sboru.
(141) Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorovému úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. S cílem usnadnit podávání stížností by měl každý dozorový úřad přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byly vyloučeny další komunikační prostředky.
(142) Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit určitý neziskový subjekt, organizaci nebo sdružení, které jsou zřízeny v souladu s právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a které působí v oblasti ochrany osobních údajů, aby podaly jeho jménem stížnost u dozorového úřadu, uplatnily právo na soudní ochranu jménem subjektu údajů nebo uplatnily jménem subjektu údajů právo na odškodnění, je-li stanoveno v právu členského státu. Členský stát může stanovit, že tento subjekt, organizace nebo sdružení má právo podat v daném členském státě stížnost nezávisle na pověření od subjektu údajů a právo na účinnou soudní ochranu, pokud mají důvod se domnívat, že došlo k porušení práva subjektu údajů v důsledku zpracování osobních údajů, které je porušením tohoto nařízení. Tento subjekt, organizace nebo sdružení nesmí požadovat jménem subjektu údajů náhradu škody, aniž by ho tím subjekt údajů pověřil.
(143) Každá fyzická nebo právnická osoba má právo podat žalobu na neplatnost rozhodnutí sboru u Soudního dvora za podmínek stanovených v článku 263 Smlouvy o fungování EU. Jakožto orgány, jimž jsou taková rozhodnutí určena, musí dotčené dozorové úřady, které chtějí tato rozhodnutí napadnout, v souladu s článkem 263 Smlouvy o fungování EU žalobu podat ve lhůtě dvou měsíců ode dne, kdy jim byla rozhodnutí oznámena. Pokud se rozhodnutí sboru bezprostředně a osobně dotýkají správce, zpracovatele nebo stěžovatele, mohou tyto osoby podat žalobu na neplatnost těchto rozhodnutí a v souladu s článkem 263 Smlouvy o fungování EU ve lhůtě dvou měsíců od jejich zveřejnění na internetových stránkách sboru. Aniž je dotčeno toto právo podle článku 263 Smlouvy o fungování EU, měla by mít každá fyzická nebo právnická osoba právo na účinnou soudní ochranu u příslušného vnitrostátního soudu proti rozhodnutím dozorového úřadu, která vůči ní zakládají právní účinky. Taková rozhodnutí se týkají zejména výkonu vyšetřovacích, nápravných a povolovacích pravomocí dozorovým úřadem nebo odmítnutí či zamítnutí stížností. Právo na účinnou soudní ochranu se však nevztahuje na další opatření dozorových úřadů, která nejsou právně závazná, jako jsou stanoviska vydávaná dozorovým úřadem nebo poradenství jím poskytované. Řízení proti dozorovému úřadu by mělo být zahájeno u soudů toho členského státu, v němž je daný dozorový úřad zřízen, a mělo by probíhat podle procesního práva tohoto členského státu. Tyto soudy by měly vykonávat soudní pravomoc v plném rozsahu, která by měla zahrnovat pravomoc řešit všechny skutkové a právní otázky, které jsou pro jimi projednávaný spor relevantní.
Pokud dozorový úřad odmítl nebo zamítl stížnost, může se stěžovatel obrátit na soudy v tomtéž členském státě. Pokud jde o soudní ochranu související s uplatňováním tohoto nařízení, vnitrostátní soudy, které zvažují rozhodnutí o otázce nezbytné pro vydání jejich rozsudku, mohou, nebo v případě uvedeném v článku 267 Smlouvy o fungování EU musí, požádat Soudní dvůr o rozhodnutí o předběžné otázce týkající se výkladu práva Unie včetně tohoto nařízení. Kromě toho pokud je rozhodnutí dozorového úřadu, kterým se provádí rozhodnutí sboru, napadeno u vnitrostátního soudu a předmětem sporu je platnost daného rozhodnutí sboru, nemá tento vnitrostátní soud pravomoc prohlásit rozhodnutí sboru za neplatné, nýbrž se musí v případě, že je považuje za neplatné, obrátit v otázce platnosti na Soudní dvůr v souladu s článkem 267 Smlouvy o fungování EU. Vnitrostátní soud se však nemůže s otázkou platnosti rozhodnutí sboru obrátit na Soudní dvůr na žádost fyzické či právnické osoby, která měla možnost podat žalobu na neplatnost tohoto rozhodnutí, zejména pokud se jí rozhodnutí bezprostředně a osobně dotýkalo, avšak ve lhůtě stanovené v článku 263 Smlouvy o fungování EU tak neučinila.
(144) Domnívá-li se soud vedoucí řízení proti rozhodnutí dozorového úřadu, že před příslušným soudem v jiném členském státě je vedeno řízení týkající se stejného zpracování, jako je například stejný předmět, pokud jde o zpracování prováděné stejným správcem nebo zpracovatelem, nebo stejný důvod činnosti, měl by tento soud kontaktovat, aby ověřil existenci takových souvisejících řízení. Není-li související řízení před soudem v jiném členském státě dosud vyřízeno, mohou všechny soudy, u nichž nebylo řízení zahájeno jako první, svá řízení přerušit nebo se mohou na žádost zúčastněné strany příslušnosti vzdát ve prospěch soudu, u něhož bylo řízení zahájeno jako první, jestliže je soud, u něhož bylo řízení zahájeno jako první, příslušný pro daná řízení a spojení těchto souvisejících řízení je podle práva státu tohoto soudu přípustné. Má se za to, že řízení spolu navzájem souvisejí, pokud je mezi nimi tak úzký vztah, že jejich společné projednání a rozhodnutí je vhodné k tomu, aby se zabránilo vydání vzájemně si odporujících rozhodnutí v oddělených řízeních.
(145) Při řízeních proti správci nebo zpracovateli by žalobce měl mít možnost volby, zda podá žalobu u soudů členského státu, kde má správce nebo zpracovatel provozovnu nebo kde má subjekt údajů bydliště, s výjimkou případů, kdy je správce orgánem veřejné moci členského státu, který jedná v rámci výkonu veřejné moci.
(146) Veškerou újmu, která může osobám vzniknout v důsledku zpracování, které porušuje toto nařízení, by měl nahradit správce nebo zpracovatel. Správce nebo zpracovatel by však měl být odpovědnosti zproštěn, pokud prokáže, že za újmu nenese žádným způsobem odpovědnost. Výklad pojmu "újma" by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel práva Unie nebo členského státu. Zpracování, které porušuje toto nařízení, zahrnuje rovněž zpracování, které porušuje akty v přenesené pravomoci a prováděcí akty přijaté v souladu s tímto nařízením a právními předpisy členského státu upřesňující pravidla tohoto nařízení. Subjekty údajů by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly. Jsou-li správci nebo zpracovatelé zapojeni do téhož zpracování, měl by každý správce nebo zpracovatel nést odpovědnost za celkovou újmu. Jsou-li však tito správci nebo zpracovatelé v souladu s právem členského státu spojeni v tomtéž řízení, může být náhrada újmy rozvržena podle odpovědnosti každého správce nebo zpracovatele za újmu způsobenou zpracováním, za podmínky, že je zajištěno úplné a účinné odškodnění subjektu údajů, jenž újmu utrpěl. Kterýkoli správce nebo zpracovatel, který uhradil plnou náhradu újmy, může následně zahájit soudní řízení proti jiným správcům nebo zpracovatelům zapojeným do téhož zpracování.
(147) Jsou-li v tomto nařízení obsažena zvláštní pravidla o soudní příslušnosti, zejména pokud jde o řízení týkající se žádosti o soudní ochranu, včetně odškodnění, vedené proti správci nebo zpracovateli, nemělo by uplatnění těchto zvláštních pravidel být dotčeno obecnými pravidly o soudní příslušnosti, jako jsou například pravidla stanovená v nařízení Evropského parlamentu a Rady (EU) č. 1215/2012 ().
(148) S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut, a to vedle nebo namísto vhodných opatření uložených dozorovým úřadem podle tohoto nařízení. V méně závažných případech porušení nebo pokud by pokuta, která bude pravděpodobně uložena, představovala pro fyzickou osobu nepřiměřenou zátěž, může být namísto pokuty uloženo napomenutí. Náležitě by se však měla zohlednit povaha, závažnost a doba trvání porušení, úmyslný charakter porušení, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míra odpovědnosti nebo jakékoli relevantní předchozí porušení, způsob, jakým se dozorový úřad o daném porušení dozvěděl, dodržování opatření, která byla vůči správci nebo zpracovateli nařízena, dodržování kodexu chování nebo jakýkoli jiný přitěžující nebo polehčující faktor. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami právních předpisů Unie a Listiny, včetně účinné právní ochrany a spravedlivého procesu.
(149) Členské státy by měly mít možnost stanovit pravidla týkající se trestních sankcí za porušení tohoto nařízení, včetně porušení vnitrostátních pravidel přijatých podle tohoto nařízení a v jeho mezích. Tyto trestní sankce mohou rovněž zahrnovat odebrání zisků získaných na základě porušení tohoto nařízení. Uložení trestních sankcí za porušení těchto vnitrostátních pravidel a správních pokut by však nemělo vést k porušení zásady ne bis in idem, jak ji vykládá Soudní dvůr.
(150) Aby byly posíleny a harmonizovány správní sankce za porušení tohoto nařízení, měl by každý dozorový úřad mít pravomoc uložit správní pokuty. V tomto nařízení by měly být uvedeny porušení a maximální hranice a kritéria pro stanovení souvisejících správních pokut, jež by měl v každém jednotlivém případě určit příslušný dozorový úřad při zohlednění všech příslušných okolností konkrétní situace s náležitým přihlédnutím zejména k povaze, závažnosti a době trvání tohoto porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto porušení. Pro účely uložení správních pokut podniku by měl být podnik chápán ve smyslu článků 101 a 102 Smlouvy o fungování EU. Jsou-li správní pokuty uloženy osobám, které nejsou podnikem, měl by dozorový úřad při rozhodování o odpovídající výši pokuty zohlednit obecnou úroveň příjmů v daném členském státě, jakož i ekonomickou situaci dané osoby. K prosazování důsledného uplatňování správních pokut je možné využít rovněž mechanismus jednotnosti. Zda a do jaké míry by se měly správní pokuty vztahovat na orgány veřejné moci, by měl určit členský stát. Uložení správní pokuty nebo varování nemá vliv na uplatňování dalších pravomocí dozorových úřadů nebo dalších sankcí podle tohoto nařízení.
(151) Právní systémy Dánska a Estonska neumožňují uložení správních pokut v podobě stanovené tímto nařízením. Pravidla týkající se správních pokut mohou být uplatňována tak, že v Dánsku pokutu uloží příslušný vnitrostátní soud jakožto trestní sankci a v Estonsku pokutu uloží dozorový úřad v přestupkovém řízení, pokud takové uplatnění pravidel má v uvedených členských státech účinek, který je rovnocenný správním pokutám uloženým dozorovými úřady. Příslušné vnitrostátní soudy by tedy měly zohlednit doporučení dozorového úřadu, který dal podnět k uložení pokuty. Uložené pokuty by v každém případě měly být účinné, přiměřené a odrazující.
(152) Nejsou-li správní sankce harmonizovány tímto nařízením nebo v případě potřeby v jiných případech, jako jsou závažná porušení tohoto nařízení, měly by členské státy zavést systém, který zajistí uložení účinných, přiměřených a odrazujících pokut. Povaha těchto trestních nebo správních sankcí by měla být stanovena právem členského státu.
(153) Právo členského státu by měly uvádět pravidla upravující svobodu projevu a informací, včetně novinářského, akademického, uměleckého nebo literárního projevu, do souladu s právem na ochranu osobních údajů podle tohoto nařízení. Na zpracování osobních údajů prováděné výhradně pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu by se měly vztahovat odchylky nebo výjimky z některých ustanovení tohoto nařízení, je-li to nutné za účelem uvedení práva na ochranu osobních údajů do souladu s právem na svobodu projevu a informací, jak je zakotveno v článku 11 Listiny. To by mělo platit zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. Členské státy by proto měly přijmout legislativní opatření stanovující výjimky a odchylky nezbytné pro vyvážení těchto základních práv. Členské státy by měly tyto výjimky a odchylky přijímat s ohledem na obecné zásady, práva subjektu údajů, správce a zpracovatele, předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, nezávislé dozorové úřady a na spolupráci a jednotné použití a zvláštní případy zpracování osobních údajů. Pokud se tyto výjimky a odchylky v jednotlivých členských státech liší, mělo by se použít právo členského státu, které se na správce vztahuje. Aby byl zohledněn význam práva na svobodu projevu v každé demokratické společnosti, je třeba vykládat pojmy související s touto svobodou, například žurnalistika, šířeji.
(154) Toto nařízení umožňuje, aby při jeho provádění byla zohledněna zásada přístupu veřejnosti k úředním dokumentům. Lze mít za to, že přístup veřejnosti k úředním dokumentům je ve veřejném zájmu. Orgán veřejné moci nebo veřejný subjekt by měl mít možnost zpřístupnit veřejnosti osobní údaje v dokumentech, které jsou v jeho držení, pokud je toto zpřístupnění stanoveno právem Unie nebo členského státu, které se na tento orgán nebo subjekt vztahuje. Tyto právní předpisy by měly zajišťovat soulad přístupu veřejnosti k úředním dokumentům a opakovaného použití informací veřejného sektoru s právem na ochranu osobních údajů, a mohou proto stanovit nezbytné zajištění souladu s právem na ochranu osobních údajů podle tohoto nařízení. Odkaz na orgány veřejné moci a veřejné subjekty by v tomto kontextu měl zahrnovat všechny orgány nebo jiné subjekty, na něž se vztahuje právo členského státu v oblasti přístupu veřejnosti k dokumentům. Směrnice Evropského parlamentu a Rady 2003/98/ES () ponechává nedotčenu a nijak neovlivňuje úroveň ochrany fyzických osob v souvislosti se zpracováním osobních údajů podle práva Unie a členských států, a zejména nemění povinnosti a práva podle tohoto nařízení. Uvedená směrnice by se zejména neměla vztahovat na dokumenty, k nimž je vyloučen nebo omezen přístup na základě režimů přístupu z důvodu ochrany osobních údajů, a na části dokumentů přístupné podle těchto režimů, které obsahují osobní údaje, jejichž opakované použití bylo právně vymezeno jako jednání v rozporu s právními předpisy na ochranu fyzických osob v souvislosti se zpracováním osobních údajů.
(155) Právo členského státu nebo kolektivní smlouvy (včetně "podnikových dohod") mohou stanovit zvláštní pravidla, která upraví zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zejména podmínky, za nichž lze osobní údaje v souvislosti se zaměstnáním zpracovávat na základě souhlasu zaměstnance, za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a různorodosti na pracovišti, zdraví a bezpečnosti na pracovišti, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.
(156) Zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely by mělo podléhat vhodným zárukám týkajícím se práv a svobod subjektu údajů podle tohoto nařízení. Tyto záruky by měly zajistit, aby byla zavedena technická a organizační opatření, zejména s cílem zajistit dodržování zásady minimalizace údajů. Další zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely má být provedeno, pokud správce usoudil, že je možné splnit tyto účely na základě zpracování osobních údajů, které neumožňují nebo již neumožňují identifikaci subjektů údajů, za podmínky existence vhodných záruk (jako je například pseudonymizace osobních údajů). Členské státy by měly stanovit vhodné záruky týkající se zpracování osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Členské státy by měly mít v souvislosti se zpracováním osobních údajů pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely možnost stanovit, za zvláštních podmínek podléhajícím vhodným zárukám pro subjekty údajů, upřesnění a odchylky týkající se požadavků na informace a práva na opravu nebo výmaz osobních údajů, práva být zapomenut, práva na omezení zpracování, práva na přenositelnost údajů a práva vznést námitku. S danými podmínkami a zárukami mohou být spojeny zvláštní postupy určené subjektům údajů pro uplatňování těchto práv, je-li to vhodné s ohledem na účely daného konkrétního zpracování, spolu s technickými a organizačními opatřeními, jejichž cílem je minimalizovat zpracování osobních údajů při uplatňování zásad přiměřenosti a nutnosti. Zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími příslušnými právními předpisy, upravujícími například klinická hodnocení.
(157) Díky propojení informací z registrů mohou výzkumní pracovníci získat velmi cenné poznatky o rozšířených onemocněních, jako jsou kardiovaskulární onemocnění, rakovina a deprese. Na základě informací z registrů mohou být výsledky výzkumů posíleny, neboť takové výzkumy vycházejí z rozsáhlejšího vzorku populace. V rámci společenských věd umožňuje výzkum vycházející z informací obsažených v registrech výzkumným pracovníkům získat základní poznatky o dlouhodobém vztahu mezi řadou sociálních podmínek, jako je stav nezaměstnanosti a úroveň vzdělání, a jinými životními proměnnými. Výsledky výzkumu získané prostřednictvím registrů poskytují spolehlivé a velmi kvalitní poznatky, které mohou sloužit jako základ pro formulaci a provádění znalostní politiky, zvýšit kvalitu života řady osob a zlepšit účinnost sociálních služeb. S cílem usnadnit vědecký výzkum mohou být osobní údaje zpracovávány pro účely vědeckého výzkumu s výhradou vhodných podmínek a záruk stanovených v právu Unie nebo členského státu.
(158) Toto nařízení by se mělo vztahovat i na případy zpracování osobních údajů pro účely archivace, přičemž je třeba mít na paměti, že by se nemělo vztahovat na osobní údaje zesnulých osob. Orgány veřejné moci či veřejné nebo soukromé subjekty, které mají v držení záznamy veřejného zájmu, by měly být útvary, které mají na základě práva Unie nebo členského státu právní povinnost získávat, uchovávat, posuzovat, uspořádat, popisovat, sdělovat, podporovat a šířit záznamy trvalé hodnoty pro obecný veřejný zájem a poskytovat k nim přístup. Členské státy by rovněž měly mít možnost stanovit, že osobní údaje mohou být dále zpracovávány pro účely archivace, například s cílem poskytnout konkrétní informace související s politickým chováním za bývalých totalitních režimů, s genocidou, zločiny proti lidskosti, zejména holokaustem, nebo válečnými zločiny.
(159) Jsou-li osobní údaje zpracovávány pro účely vědeckého výzkumu, toto nařízení by se mělo vztahovat i na takové zpracování. Pro účely tohoto nařízení by zpracování osobních údajů pro účely vědeckého výzkumu mělo být chápáno v širokém smyslu a zahrnovat například technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů. Kromě toho by mělo zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování EU, jímž je vytvoření evropského výzkumného prostoru. K účelům vědeckého výzkumu by rovněž měly patřit studie prováděné ve veřejném zájmu v oblasti veřejného zdraví. V zájmu dodržení specifických podmínek zpracování osobních údajů pro vědecké účely by měly platit zvláštní podmínky zejména pro zveřejňování nebo jiné zpřístupnění osobních údajů v souvislosti s účely vědeckého výzkumu. Vyplynou-li z vědeckého výzkumu, zejména v souvislosti se zdravím, důvody pro přijetí dalších opatření v zájmu subjektu údajů, měla by se s ohledem na tato opatření uplatňovat obecná pravidla tohoto nařízení.
(160) Jsou-li osobní údaje zpracovávány pro účely historického výzkumu, toto nařízení by se mělo vztahovat i na takové zpracování. K takovým účelům by rovněž měl patřit historický výzkum a výzkum pro genealogické účely, přičemž je třeba mít na paměti, že by se toto nařízení nemělo vztahovat na zesnulé osoby.
(161) Pro účely vyslovení souhlasu s účastí ve vědeckém výzkumu v klinických hodnoceních by měla platit příslušná ustanovení nařízení Evropského parlamentu a Rady (EU) č. 536/2014 ().
(162) Jsou-li osobní údaje zpracovávány pro statistické účely, toto nařízení by se mělo vztahovat na takové zpracování. Právo Unie nebo členského státu by mělo v mezích tohoto nařízení určit statistický obsah, kontrolu přístupu, zvláštní podmínky zpracování osobních údajů pro statistické účely a vhodná opatření k zaručení práv a svobod subjektu údajů a k zajištění statistické důvěrnosti. Statistickými účely se rozumí jakékoli operace shromažďování a zpracování osobních údajů nezbytné pro statistická zjišťování nebo pro generování statistických výsledků. Tyto statistické výsledky mohou být dále použity pro různé účely, včetně účelů vědeckého výzkumu. Jestliže se jedná o statistické účely, výsledkem zpracování nejsou osobní údaje, ale souhrnné údaje, a tento výsledek ani dané osobní údaje nejsou používány na podporu opatření nebo rozhodnutí týkajících se konkrétní fyzické osoby.
(163) Důvěrné informace, které statistické orgány Unie a členských států shromažďují za účelem vypracovávání úředních evropských a vnitrostátních statistik, by měly být chráněny. Evropské statistiky by měly být sestavovány, vypracovávány a šířeny v souladu se statistickými zásadami stanovenými v čl. 338 odst. 2 Smlouvy o fungování EU, zatímco vnitrostátní statistiky by měly splňovat rovněž požadavky práva členského státu. Další upřesnění o statistické důvěrnosti evropské statistiky poskytuje nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ().
(164) Pokud jde o pravomoci dozorových úřadů získat od správce nebo zpracovatele přístup k osobním údajům a přístup do jejich prostor, mohou členské státy v mezích tohoto nařízení právním předpisem přijmout zvláštní pravidla pro zajištění povinnosti zachovávat služební nebo jiné rovnocenné tajemství, pokud je to nezbytné pro uvedení práva na ochranu osobních údajů do souladu s povinností zachovávat služební tajemství. Nejsou tím dotčeny stávající povinnosti členských států přijmout pravidla o uplatňování služebního tajemství tam, kde to vyžadují právní předpisy Unie.
(165) V souladu s článkem 17 Smlouvy o fungování EU toto nařízení uznává postavení, které podle stávajícího ústavního práva mají církve a náboženská sdružení či společenství v členských státech, a nedotýká se jej.
(166) Aby byly splněny cíle tohoto nařízení, zejména chránit základní práva a svobody fyzických osob a především jejich právo na ochranu osobních údajů a zajistit volný pohyb osobních údajů v rámci Unie, měla by být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU. Akty v přenesené pravomoci by měly být přijímány především s ohledem na kritéria a požadavky týkající se mechanismů pro vydávání osvědčení, informace, které mají být poskytovány pomocí standardizovaných ikon a postupy pro prezentaci takových ikon. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni. Při přípravě a vypracovávání aktů v přenesené pravomoci by Komise měla zajistit, aby byly příslušné dokumenty předány současně, včas a vhodným způsobem Evropskému parlamentu a Radě.
(167) V zájmu zajištění jednotných podmínek pro provádění tohoto nařízení je třeba svěřit Komisi prováděcí pravomoci v případech stanovených tímto nařízením. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011. Komise by v této souvislosti měla zvážit zvláštní opatření, pokud jde o mikropodniky a malé a střední podniky.
(168) Přezkumný postup by se měl použít při přijímání prováděcích aktů, pokud jde o standardní smluvní doložky mezi správci a zpracovateli a mezi zpracovateli navzájem, kodexy chování; technické normy a mechanismy pro vydávání osvědčení; odpovídající úroveň ochrany poskytovanou určitou třetí zemí, určitým územím či konkrétním odvětvím v určité třetí zemi nebo určitou mezinárodní organizací; přijetí standardních ustanovení o ochraně údajů; formáty a postupy pro výměnu informací elektronickými prostředky mezi správci, zpracovateli a dozorovými úřady pro účely závazných podnikových pravidel; vzájemnou pomoc; ujednání pro výměnu informací elektronickými prostředky mezi dozorovými úřady navzájem a mezi dozorovými úřady a sborem.
(169) Je-li to nezbytné v závažných, naléhavých a řádně odůvodněných případech, jestliže dostupné důkazy poukazují na to, že určitá třetí země, určité území či konkrétní odvětví zpracování v určité třetí zemi nebo určitá mezinárodní organizace nezajišťuje odpovídající úroveň ochrany, a jedná-li se o krajně naléhavé případy, měla by Komise přijmout okamžitě použitelné prováděcí akty.
(170) Jelikož cíle tohoto nařízení, totiž zajištění přiměřené úrovně ochrany fyzických osob a volného pohybu osobních údajů v Unii, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej, z důvodu rozsahu nebo účinků tohoto nařízení, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii (dále jen "Smlouva o EU"). V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení tohoto cíle.
(171) Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost. Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení. Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena.
(172) Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 a vydal stanovisko dne 7. března 2012 ().
(173) Toto nařízení by se mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracování osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici Evropského parlamentu a Rady 2002/58/ES () a sledující stejný cíl, včetně povinností správce a práv fyzických osob. Za účelem vyjasnění vztahu mezi tímto nařízením a směrnicí 2002/58/ES by měla být uvedená směrnice odpovídajícím způsobem změněna. Jakmile bude toto nařízení přijato, směrnice 2002/58/ES by měla být podrobena přezkumu, zejména s cílem zajistit soudržnost s tímto nařízením,
PŘIJALY TOTO NAŘÍZENÍ:
KAPITOLA I
Obecná ustanovení
Článek 1
Předmět a cíle
1. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.
2. Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.
3. Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
Článek 2
Věcná působnost
1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
a) při výkonu činností, které nespadají do oblasti působnosti práva Unie;
b) členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
c) fyzickou osobou v průběhu výlučně osobních či domácích činností;
d) příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
3. Na zpracování osobních údajů orgány, institucemi a jinými subjekty Unie se vztahuje nařízení (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98.
4. Tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice.
Článek 3
Místní působnost
1. Toto nařízení se vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Unii bez ohledu na to, zda zpracování probíhá v Unii či mimo ni.
2. Toto nařízení se vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Unii, správcem nebo zpracovatelem, který není usazen v Unii, pokud činnosti zpracování souvisejí:
a) s nabídkou zboží nebo služeb těmto subjektům údajů v Unii, bez ohledu na to, zda je od subjektů údajů požadována platba; nebo
b) s monitorováním jejich chování, pokud k němu dochází v rámci Unie.
3. Toto nařízení se vztahuje na zpracování osobních údajů správcem, který není usazen v Unii, ale na místě, kde se právo členského státu uplatňuje na základě mezinárodního práva veřejného.
Článek 4
Definice
Pro účely tohoto nařízení se rozumí:
1) "osobními údaji" veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
2) "zpracováním" jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;.
3) "omezením zpracování" označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
4) "profilováním" jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
5) "pseudonymizací" zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
6) "evidencí" jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
7) "správcem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
8) "zpracovatelem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
9) "příjemcem" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
10) "třetí stranou" fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
11) "souhlasem" subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
12) "porušením zabezpečení osobních údajů" porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
13) "genetickými údaji" osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
14) "biometrickými údaji" osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
15) "údaji o zdravotním stavu" osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
16) "hlavní provozovnou":
a) v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;
b) v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;
17) "zástupcem" jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení;
18) "podnikem" jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;
19) "skupinou podniků" skupina zahrnující řídící podnik a jím řízené podniky;
20) "závaznými podnikovými pravidly" koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost;
21) "dozorovým úřadem" nezávislý orgán veřejné moci zřízený členským státem podle článku 51;
22) "dotčeným dozorovým úřadem" dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:
a) správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu;
b) subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo
c) u něj byla podána stížnost;
23) "přeshraničním zpracováním" buď:
a) zpracování osobních údajů, které probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě správce či zpracovatele v Unii, je-li tento správce či zpracovatel usazen ve více než jednom členském státě; nebo
b) zpracování osobních údajů, které probíhá v souvislosti s činnostmi jediné provozovny správce či zpracovatele v Unii, ale kterým jsou nebo pravděpodobně budou podstatně dotčeny subjekty údajů ve více než jednom členském státě;
24) "relevantní a odůvodněnou námitkou" námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie;
25) "službou informační společnosti" služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 ();
26) "mezinárodní organizací" organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.
KAPITOLA II
Zásady
Článek 5
Zásady zpracování osobních údajů
1. Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem ("zákonnost, korektnost a transparentnost");
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely ("účelové omezení");
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány ("minimalizace údajů");
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny ("přesnost");
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů ("omezení uložení");
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením ("integrita a důvěrnost");
2. Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit ("odpovědnost").
Článek 6
Zákonnost zpracování
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
2. Členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování, jak stanoví kapitola IX.
3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) právem Unie nebo
b) právem členského státu, které se na správce vztahuje.
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.
4. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, který v demokratické společnosti představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl. 23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:
a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle článku 10;
d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.
Článek 7
Podmínky vyjádření souhlasu
1. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových…