Recitály
Úryvok z knihy Bruna DUMAYA: DEŠIFROVANIE GDPR – Pre manažérov, strategické oddelenia a zamestnancov spoločností a organizácií – Predslov od Gaëlle MONTEILLER
Nemohli sme vám dovoliť vynechať odôvodnenia, aspoň tie hlavné, ktoré motivovali GDPR. Tvoria filozofiu obnovenú v konečnom nariadení a smernici, dešifrujú a harmonizujú v jednej prizme všetky aspekty každého právneho predpisu členských štátov, pokiaľ ide o právo na ochranu údajov. Stelesňujú európsku rozmanitosť a zároveň tvoria jednotný korpus. Osvetľujú naše chápanie a dávajú zmysel, svedčia o tom, že sa deje niečo hlboké, určite a na prvý pohľad, v reakcii na GAFA, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat a ďalších, ktorí vyplienili naše správanie, naše túžby a naše priania... Aktéri, ktorých jediným hľadiskom pre nás je naša peňaženka!
Zdalo sa mi nevyhnutné poskytnúť vám hlavné úvahy a/alebo najdôležitejšie pasáže. Ak by ste chceli ísť ďalej, webová stránka CNIL je opäť mimoriadne komplexná a pozývam vás, aby ste ju navštívili...
(Odôvodnenie 1) Ochrana fyzických osôb pri spracovaní osobných údajov je základným právom. … stanovujú, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.
(Odôvodnenie 2) Zásady a pravidlá upravujúce ochranu fyzických osôb pri spracovaní osobných údajov, ktoré sa ich týkajú, by mali bez ohľadu na štátnu príslušnosť alebo miesto pobytu týchto fyzických osôb rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov. … prispievať k vytvoreniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, ku konsolidácii a konvergencii ekonomík v rámci vnútorného trhu a k blahobytu fyzických osôb.
(Odôvodnenie 3) ... Rada má za cieľ harmonizovať ochranu základných práv a slobôd fyzických osôb, pokiaľ ide o činnosti spracovania údajov, a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.
(Odôvodnenie 4) Spracovanie osobných údajov by malo slúžiť ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a vyvažovať s inými základnými právami v súlade so zásadou proporcionality. ...rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a informácií, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces a kultúrna, náboženská a jazyková rozmanitosť.
(Odôvodnenie 6) Rýchly technologický vývoj a globalizácia vytvorili nové výzvy v oblasti ochrany osobných údajov. Rozsah zhromažďovania a zdieľania osobných údajov sa výrazne zvýšil. Technológia umožňuje súkromným spoločnostiam aj verejným orgánom používať osobné údaje pri svojich činnostiach ako nikdy predtým. Jednotlivci čoraz viac sprístupňujú informácie o sebe verejnosti a globálne. Technológia zmenila hospodárske aj sociálne vzťahy a mala by ďalej uľahčiť voľný tok osobných údajov v rámci Únie a ich prenos do tretích krajín a medzinárodných organizácií, pričom by mala zabezpečiť vysokú úroveň ochrany osobných údajov.
(Odôvodnenie 7) ...je dôležité vybudovať dôveru, ktorá umožní prosperovať digitálnej ekonomike na celom vnútornom trhu. Jednotlivci by mali mať kontrolu nad svojimi osobnými údajmi. ...
(Odôvodnenie 9) ... fragmentácia implementácie ochrany údajov v Únii, právna neistota alebo rozšírené verejné vnímanie, že pretrvávajú značné riziká pre ochranu jednotlivcov, najmä v súvislosti s online prostredím. Rozdiely v úrovni ochrany práv a slobôd fyzických osôb, najmä práva na ochranu osobných údajov, pokiaľ ide o spracovanie osobných údajov v členských štátoch, môžu brániť voľnému toku takýchto údajov v celej Únii. Takéto rozdiely môžu preto predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení ich povinností podľa práva Únie. ...
(Odôvodnenie 10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky toku osobných údajov v rámci Únie by úroveň ochrany práv a slobôd fyzických osôb v súvislosti so spracovaním takýchto údajov mala byť vo všetkých členských štátoch rovnaká. Preto je vhodné zabezpečiť konzistentné a jednotné uplatňovanie pravidiel na ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovaním osobných údajov v celej Únii. …
(Odôvodnenie 11) Účinná ochrana osobných údajov v celej Únii si vyžaduje posilnenie a objasnenie práv dotknutých osôb a povinností tých, ktorí vykonávajú a určujú spracovanie osobných údajov, ako aj zabezpečenie rovnocenných právomocí v členských štátoch v oblasti dohľadu a kontroly dodržiavania pravidiel o ochrane osobných údajov a rovnocenných sankcií za porušenia.
(Odôvodnenie 13)
Aby sa zabezpečila jednotná úroveň ochrany fyzických osôb v celej Únii a aby sa predišlo rozdielom, ktoré bránia voľnému toku osobných údajov na vnútornom trhu, je potrebné nariadenie, ktoré by poskytlo právnu istotu a transparentnosť hospodárskym subjektom vrátane mikropodnikov, malých a stredných podnikov, poskytlo fyzickým osobám vo všetkých členských štátoch rovnakú úroveň vymáhateľných práv, povinností a zodpovedností prevádzkovateľov a sprostredkovateľov a zabezpečilo by konzistentný dohľad nad spracúvaním osobných údajov a rovnocenné sankcie vo všetkých členských štátoch, ako aj účinnú spoluprácu medzi dozornými orgánmi rôznych členských štátov. Pre správne fungovanie vnútorného trhu je nevyhnutné, aby voľný tok osobných údajov v rámci Únie nebol obmedzený ani zakázaný z dôvodov týkajúcich sa ochrany fyzických osôb pri spracúvaní osobných údajov. …
(Odôvodnenie 14) Ochrana poskytovaná týmto nariadením by sa mala vzťahovať na fyzické osoby bez ohľadu na ich štátnu príslušnosť alebo miesto pobytu, pokiaľ ide o spracovanie ich osobných údajov. Toto nariadenie sa nevzťahuje na spracovanie osobných údajov týkajúcich sa právnických osôb, …
(Odôvodnenie 17) Na spracovanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001. …
(Odôvodnenie 19) Ochrana fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred hrozbami pre verejnú bezpečnosť a ich predchádzania a voľného pohybu takýchto údajov je predmetom osobitného právneho aktu Únie. …
(Odôvodnenie 22) Akékoľvek spracovanie osobných údajov, ktoré sa uskutočňuje v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa na území Únie, by sa malo vykonávať v súlade s týmto nariadením, bez ohľadu na to, či sa samotné spracovanie uskutočňuje v Únii. Usadenie sa predpokladá účinné a skutočné vykonávanie činnosti prostredníctvom stabilného usporiadania. …
(Odôvodnenie 23) Aby sa zabezpečilo, že fyzická osoba nebude vylúčená z ochrany, na ktorú má nárok podľa tohto nariadenia, spracovanie osobných údajov týkajúcich sa dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, by malo podliehať tomuto nariadeniu, ak sú spracovateľské činnosti spojené s ponukou tovaru alebo služieb týmto dotknutým osobám, bez ohľadu na to, či sa vyžaduje platba alebo nie. S cieľom určiť, či takýto prevádzkovateľ alebo sprostredkovateľ ponúka tovar alebo služby dotknutým osobám, ktoré sa nachádzajú v Únii, by sa malo zistiť, či je zrejmé, že prevádzkovateľ alebo sprostredkovateľ má v úmysle ponúkať služby dotknutým osobám v jednom alebo viacerých členských štátoch Únie. …
(Odôvodnenie 24) Spracovanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, by malo tiež podliehať tomuto nariadeniu, ak takéto spracúvanie súvisí s monitorovaním správania týchto dotknutých osôb v rozsahu, v akom sa týka ich správania v rámci Únie. S cieľom určiť, či možno spracovateľskú činnosť považovať za monitorovanie správania dotknutých osôb, by sa malo zistiť, či sú fyzické osoby sledované na internete, čo zahŕňa aj možné následné použitie techník spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby, najmä na účely prijímania rozhodnutí, ktoré sa jej týkajú, alebo na účely analýzy alebo predpovedania jej preferencií, správania a postojov.
(Odôvodnenie 25) Ak sa uplatňuje právo členského štátu na základe medzinárodného práva verejného, toto nariadenie by sa malo vzťahovať aj na prevádzkovateľa, ktorý nie je usadený v Únii, …
(Odôvodnenie 26) Zásady ochrany údajov by sa mali uplatňovať na akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa dali priradiť fyzickej osobe prostredníctvom dodatočných informácií, by sa mali považovať za informácie týkajúce sa identifikovateľnej fyzickej osoby. Pri určovaní, či je fyzická osoba identifikovateľná, by sa mali zohľadniť všetky prostriedky, ktoré prevádzkovateľ s primeranou pravdepodobnosťou použije…
(Odôvodnenie 27) Toto nariadenie sa nevzťahuje na osobné údaje zosnulých osôb. Členské štáty môžu stanoviť pravidlá týkajúce sa spracovania osobných údajov zosnulých osôb.
(Odôvodnenie 28) Pseudonymizácia osobných údajov môže znížiť riziká pre dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom plniť si ich povinnosti v oblasti ochrany údajov. Výslovné zavedenie pseudonymizácie v tomto nariadení nemá za cieľ vylúčiť akékoľvek iné opatrenia na ochranu údajov.
(Odôvodnenie 29) S cieľom podporiť pseudonymizáciu pri spracovaní osobných údajov by mali byť pseudonymizačné opatrenia možné v rámci toho istého prevádzkovateľa, pričom by sa mala umožniť všeobecná analýza, ak prevádzkovateľ prijal potrebné technické a organizačné opatrenia na zabezpečenie toho, aby sa v prípade dotknutého spracovania vykonávalo toto nariadenie a aby sa dodatočné informácie umožňujúce priradenie osobných údajov ku konkrétnej dotknutej osobe uchovávali oddelene. Prevádzkovateľ, ktorý spracúva osobné údaje, by mal uviesť osoby oprávnené na tento účel v rámci toho istého prevádzkovateľa.
(Odôvodnenie 30) Jednotlivci môžu byť prostredníctvom zariadení, aplikácií, nástrojov a protokolov, ktoré používajú, prepojení s online identifikátormi, ako sú IP adresy a súbory cookie alebo iné identifikátory, napríklad rádiofrekvenčné identifikačné štítky. Tieto identifikátory môžu zanechávať stopy, ktoré, najmä v kombinácii s jedinečnými identifikátormi a inými informáciami prijatými servermi, možno použiť na vytvorenie profilov jednotlivcov a na ich identifikáciu.
(Odôvodnenie 31) Verejné orgány, ktorým sú osobné údaje poskytnuté na základe zákonnej povinnosti na výkon ich úradných funkcií, ako sú daňové a colné orgány, jednotky finančného vyšetrovania, nezávislé správne orgány alebo orgány finančného trhu zodpovedné za reguláciu a dohľad nad trhmi s cennými papiermi, by sa nemali považovať za príjemcov, ak dostanú osobné údaje, ktoré sú potrebné na vykonanie konkrétneho vyšetrovania vo verejnom záujme, …
(Odôvodnenie 32) Súhlas by mal byť udelený jasným potvrdzujúcim aktom, ktorým dotknutá osoba slobodne, konkrétnym, informovaným a jednoznačným spôsobom vyjadruje súhlas so spracovaním osobných údajov, ktoré sa jej týkajú, napríklad prostredníctvom písomného vyhlásenia, a to aj elektronickými prostriedkami, alebo ústneho vyhlásenia. Môže to byť napríklad zaškrtnutím políčka pri návšteve webovej stránky, zvolením určitých technických nastavení pre služby informačnej spoločnosti alebo prostredníctvom ďalšieho vyhlásenia alebo správania, ktoré v tejto súvislosti jasne uvádza, že dotknutá osoba súhlasí s navrhovaným spracovaním svojich osobných údajov. Súhlas preto nemožno považovať za založený na mlčaní, predvolených zaškrtnutiach alebo nečinnosti. …
(Odôvodnenie 36) Hlavnou prevádzkarňou prevádzkovateľa v Únii by malo byť miesto jeho ústredia v Únii, pokiaľ sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov neprijímajú v inej prevádzkarni prevádzkovateľa v Únii, v takom prípade by sa táto iná prevádzkareň mala považovať za hlavnú prevádzkareň. Hlavná prevádzkareň prevádzkovateľa v Únii by sa mala určiť na základe objektívnych kritérií a mala by zahŕňať účinné a skutočné vykonávanie riadiacich činností určujúcich hlavné rozhodnutia o účeloch a prostriedkoch spracúvania v rámci stabilného usporiadania. …
(Odôvodnenie 37) Skupina podnikov by mala zahŕňať ovládajúci podnik a ním ovládané podniky, pričom ovládajúci podnik je ten, ktorý môže mať dominantný vplyv na ostatné podniky napríklad na základe vlastníctva kapitálu, finančnej účasti alebo pravidiel, ktorými sa riadi, alebo právomoci presadzovať pravidlá ochrany osobných údajov. Podnik, ktorý kontroluje spracovanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal považovať za podnik tvoriaci s týmito podnikmi skupinu podnikov.
(Odôvodnenie 38) Deti si zaslúžia osobitnú ochranu, pokiaľ ide o ich osobné údaje, pretože si môžu byť menej vedomé príslušných rizík, dôsledkov a záruk, ako aj svojich práv súvisiacich so spracovaním osobných údajov. Táto osobitná ochrana by sa mala vzťahovať najmä na používanie osobných údajov týkajúcich sa detí na marketingové účely alebo na vytváranie osobnostných alebo používateľských profilov a na zhromažďovanie osobných údajov týkajúcich sa detí pri využívaní služieb ponúkaných priamo dieťaťu. Súhlas nositeľa rodičovských práv a povinností by sa nemal vyžadovať v kontexte preventívnych alebo poradenských služieb ponúkaných priamo dieťaťu.
(Odôvodnenie 39) Každé spracovanie osobných údajov by malo byť zákonné a spravodlivé. Skutočnosť, že osobné údaje týkajúce sa fyzických osôb sa zhromažďujú, používajú, sprístupňujú alebo inak spracúvajú, a rozsah, v akom sa tieto údaje spracúvajú alebo budú spracúvané, by mala byť pre dotknuté fyzické osoby transparentná. Zásada transparentnosti vyžaduje, aby všetky informácie a komunikácia týkajúce sa spracovania takýchto osobných údajov boli ľahko dostupné, ľahko zrozumiteľné a formulované jasným a jednoduchým jazykom. Táto zásada sa vzťahuje najmä na informácie poskytované dotknutým osobám o totožnosti prevádzkovateľa a účeloch spracovania, ako aj na ďalšie informácie zamerané na zabezpečenie spravodlivého a transparentného spracovania vo vzťahu k dotknutým fyzickým osobám a ich právu získať potvrdenie a oznámenie o tom, či sa ich osobné údaje spracúvajú. Fyzické osoby by mali byť informované o rizikách, pravidlách, zárukách a právach súvisiacich so spracovaním osobných údajov a o spôsoboch uplatňovania svojich práv v súvislosti s takýmto spracovaním. …
(Odôvodnenie 40) Aby bolo spracovanie osobných údajov zákonné, malo by byť založené na súhlase dotknutej osoby alebo na akomkoľvek inom oprávnenom dôvode ustanovenom zákonom, …
(Odôvodnenie 42) Ak je spracovanie založené na súhlase dotknutej osoby, prevádzkovateľ by mal byť schopný preukázať, že dotknutá osoba súhlasila so spracovaním. …
(Odôvodnenie 43) Aby sa zabezpečilo, že súhlas je udelený slobodne, nemal by byť platným právnym dôvodom na spracovanie osobných údajov v konkrétnom prípade, keď existuje zjavná nerovnováha medzi dotknutou osobou a prevádzkovateľom, najmä ak je prevádzkovateľom orgán verejnej moci a je nepravdepodobné, že súhlas bol udelený slobodne za všetkých okolností danej konkrétnej situácie. Súhlas sa považuje za neudelený slobodne, ak nemožno udeliť samostatný súhlas na rôzne operácie spracovania osobných údajov, hoci by to bolo v konkrétnom prípade vhodné, alebo ak je plnenie zmluvy vrátane poskytnutia služby podmienené súhlasom, hoci súhlas nie je na takéto plnenie potrebný.
(Odôvodnenie 44) Spracovanie by sa malo považovať za zákonné, ak je nevyhnutné na plnenie zmluvy alebo na dosiahnutie zámeru uzavrieť zmluvu.
(Odôvodnenie 45) Ak sa spracovanie vykonáva v súlade s právnou povinnosťou, ktorej prevádzkovateľ podlieha, alebo ak je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci, spracovanie by malo mať základ v práve Únie alebo členského štátu. …
(Odôvodnenie 46) Spracovanie osobných údajov by sa malo považovať za zákonné aj vtedy, ak je nevyhnutné na ochranu záujmu, ktorý je nevyhnutný pre život dotknutej osoby alebo inej fyzickej osoby. Spracovanie osobných údajov na základe životne dôležitého záujmu inej fyzickej osoby by sa v zásade malo uskutočňovať len vtedy, ak spracúvanie zjavne nemôže byť založené na inom právnom základe. …
(Odôvodnenie 47) Oprávnené záujmy prevádzkovateľa vrátane záujmov prevádzkovateľa, ktorému môžu byť osobné údaje poskytnuté, alebo tretej strany môžu predstavovať právny základ pre spracovanie, pokiaľ neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, berúc do úvahy primerané očakávania dotknutých osôb založené na ich vzťahu s prevádzkovateľom. …
(Odôvodnenie 48) Prevádzkovatelia, ktorí sú súčasťou skupiny spoločností alebo prevádzok pridružených k ústrednému orgánu, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny spoločností na interné administratívne účely vrátane spracovania osobných údajov týkajúcich sa zákazníkov alebo zamestnancov. …
(Odôvodnenie 49) Spracovanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zabezpečenia bezpečnosti sietí a informácií, t. j. schopnosti siete alebo informačného systému odolávať pri danej úrovni dôvery náhodným udalostiam alebo nezákonným alebo zlomyseľným činom, ktoré ohrozujú dostupnosť, autenticitu, integritu a dôvernosť uložených alebo prenášaných osobných údajov, ako aj bezpečnosť súvisiacich služieb ponúkaných alebo sprístupnených prostredníctvom takýchto sietí a systémov, zo strany verejných orgánov, tímov pre reakciu na počítačové núdzové situácie (CERT), tímov pre reakciu na počítačové bezpečnostné incidenty (CSIRT), poskytovateľov elektronických komunikačných sietí a služieb a poskytovateľov bezpečnostných technológií a služieb, predstavuje oprávnený záujem dotknutého prevádzkovateľa. To by mohlo zahŕňať napríklad zabránenie neoprávnenému prístupu k elektronickým komunikačným sieťam a šíreniu škodlivého kódu a zastavenie útokov typu „odmietnutie služby“ a poškodenia počítačových a elektronických komunikačných systémov.
(Odôvodnenie 50) Spracovanie osobných údajov na iné účely, ako sú tie, na ktoré boli osobné údaje pôvodne zhromaždené, by malo byť povolené len vtedy, ak je zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne zhromaždené. …
Ak dotknutá osoba udelila súhlas alebo ak je spracovanie založené na práve Únie alebo členského štátu, ktoré predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie najmä dôležitých cieľov všeobecného verejného záujmu, prevádzkovateľ by mal mať možnosť vykonávať ďalšie spracovanie osobných údajov bez ohľadu na zlučiteľnosť účelov. …
(Odôvodnenie 51) Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé z hľadiska základných práv a slobôd, si zaslúžia osobitnú ochranu, pretože kontext, v ktorom sa spracúvajú, by mohol predstavovať značné riziká pre tieto práva a slobody. Takéto osobné údaje by mali zahŕňať osobné údaje odhaľujúce rasový alebo etnický pôvod, pričom sa rozumie, že použitie pojmu „rasový pôvod“ v tomto nariadení neznamená, že Únia schvaľuje teórie o existencii odlišných ľudských rás. …
(Odôvodnenie 52) Výnimky zo zákazu spracúvania osobitných kategórií osobných údajov by mali byť povolené aj v prípadoch, keď to stanovuje právo Únie alebo členského štátu, a s výhradou primeraných záruk na ochranu osobných údajov a iných základných práv, ak si to vyžaduje verejný záujem, vrátane spracúvania osobných údajov v oblasti pracovného práva a práva sociálnej ochrany vrátane dôchodkov a na účely bezpečnosti, zdravotného dohľadu a varovania, prevencie alebo kontroly prenosných chorôb a iných závažných ohrození zdravia. …
(Odôvodnenie 53) Osobitné kategórie osobných údajov, ktoré si zaslúžia vyššiu ochranu, by sa mali spracúvať len na účely súvisiace so zdravím, ak je to potrebné na dosiahnutie týchto účelov v záujme jednotlivcov a spoločnosti ako celku, najmä v kontexte riadenia zdravotníckych alebo sociálnych služieb a systémov vrátane spracúvania takýchto údajov národnými riadiacimi orgánmi a ústrednými orgánmi zdravotníctva, na účely kontroly kvality, informovania manažérov a všeobecného dohľadu nad systémom zdravotníctva alebo sociálnej starostlivosti na národnej a miestnej úrovni a na účely zabezpečenia kontinuity zdravotnej alebo sociálnej starostlivosti a cezhraničnej zdravotnej starostlivosti alebo na účely zdravotnej bezpečnosti, dohľadu a varovania, alebo na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely na základe práva Únie alebo členského štátu, ktoré musí spĺňať cieľ verejného záujmu, ako aj na účely štúdií vykonávaných vo verejnom záujme v oblasti verejného zdravia. …
(Odôvodnenie 54) Spracovanie osobitných kategórií osobných údajov môže byť nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia bez súhlasu dotknutej osoby. … Takéto spracúvanie údajov týkajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami, ako sú zamestnávatelia alebo poisťovne a banky.
(Odôvodnenie 56) Ak si v súvislosti s aktivitami súvisiacimi s voľbami fungovanie demokratického systému v členskom štáte vyžaduje, aby politické strany zhromažďovali osobné údaje týkajúce sa politických názorov jednotlivcov, spracovanie takýchto údajov môže byť povolené z dôvodov verejného záujmu za predpokladu, že sú poskytnuté primerané záruky.
(Odôvodnenie 57) Ak osobné údaje, ktoré spracúva, neumožňujú identifikovať fyzickú osobu, prevádzkovateľ by nemal byť povinný získať dodatočné informácie na identifikáciu dotknutej osoby výlučne na účely dodržania ustanovenia tohto nariadenia. Prevádzkovateľ by však nemal odmietnuť dodatočné informácie poskytnuté dotknutou osobou s cieľom uľahčiť jej výkon jej práv. Identifikácia by mala zahŕňať digitálnu identifikáciu dotknutej osoby, napríklad prostredníctvom mechanizmu overovania, ako sú tie isté prihlasovacie údaje, ktoré dotknutá osoba používa na prihlásenie do online služby ponúkanej prevádzkovateľom.
(Odôvodnenie 58) Zásada transparentnosti vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko dostupné a zrozumiteľné, formulované jasne a jednoducho a navyše v prípade potreby ilustrované vizuálnymi prvkami. Takéto informácie by sa mohli poskytovať v elektronickej forme, napríklad prostredníctvom webovej stránky, ak sú určené verejnosti. … Keďže deti si zaslúžia osobitnú ochranu, všetky informácie a komunikácia, ak sa ich spracovanie týka, by mali byť formulované jasne a jednoducho, aby im dieťa ľahko rozumelo.
(Odôvodnenie 59) Mali by sa zabezpečiť opatrenia na uľahčenie uplatňovania práv dotknutej osoby podľa tohto nariadenia vrátane prostriedkov na vyžiadanie si a v prípade potreby na bezplatné získanie najmä prístupu k osobným údajom, ich opravy alebo vymazania a na uplatnenie práva namietať. Prevádzkovateľ by mal tiež poskytnúť prostriedky na podávanie žiadostí elektronickými prostriedkami, najmä ak sa osobné údaje spracúvajú elektronicky. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti dotknutej osoby bez zbytočného odkladu a najneskôr do jedného mesiaca a uviesť dôvody svojej odpovede, ak nemá v úmysle takýmto žiadostiam vyhovieť.
(Odôvodnenie 60) Zásada spravodlivého a transparentného spracovania vyžaduje, aby bola dotknutá osoba informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal poskytnúť dotknutej osobe akékoľvek ďalšie informácie potrebné na zabezpečenie spravodlivého a transparentného spracovania, berúc do úvahy konkrétne okolnosti a kontext, v ktorých sa osobné údaje spracúvajú. Okrem toho by mala byť dotknutá osoba informovaná o existencii profilovania a o jeho dôsledkoch. Ak sa od dotknutej osoby zhromažďujú osobné údaje, je dôležité, aby dotknutá osoba vedela aj o tom, či je povinná osobné údaje poskytnúť a o dôsledkoch ich neposkytnutia. …
(Odôvodnenie 61) Informácie o spracovaní osobných údajov týkajúcich sa dotknutej osoby by jej mali byť poskytnuté v čase, keď sa od nej osobné údaje zhromažďujú, alebo ak sa osobné údaje získavajú z iného zdroja, v primeranej lehote v závislosti od okolností každého prípadu. Ak môžu byť osobné údaje zákonne poskytnuté inému príjemcovi, dotknutá osoba by mala byť informovaná o čase, kedy boli osobné údaje tomuto príjemcovi prvýkrát poskytnuté. …
(Odôvodnenie 62) Nie je však potrebné uložiť povinnosť poskytnúť informácie, ak dotknutá osoba tieto informácie už má, ak je zaznamenávanie alebo zverejnenie osobných údajov výslovne stanovené zákonom alebo ak sa poskytnutie informácií dotknutej osobe ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie. …
(Odôvodnenie 63) Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré sa o nej zhromažďujú, a toto právo by mala uplatňovať jednoducho a v primeraných intervaloch, aby si bola vedomá spracovania a overila si jeho zákonnosť. To zahŕňa právo dotknutých osôb na prístup k údajom týkajúcim sa ich zdravia, napríklad k údajom z ich zdravotnej dokumentácie obsahujúcej informácie, ako sú diagnózy, výsledky vyšetrení, názory ošetrujúcich lekárov a akákoľvek vykonaná liečba alebo zákrok. Preto by každá dotknutá osoba mala mať právo poznať a byť informovaná najmä o účeloch spracovania osobných údajov, ak je to možné, o trvaní spracovania týchto osobných údajov, totožnosti príjemcov týchto osobných údajov, logike použitej pri akomkoľvek automatizovanom spracovaní a možných dôsledkoch takéhoto spracovania, aspoň v prípade profilovania. …
(Odôvodnenie 64) Prevádzkovateľ by mal podniknúť všetky primerané kroky na overenie totožnosti dotknutej osoby žiadajúcej o prístup k údajom, najmä v kontexte online služieb a identifikátorov. Prevádzkovateľ by nemal uchovávať osobné údaje výlučne na účel toho, aby mohol odpovedať na potenciálne žiadosti.
(Odôvodnenie 65) Dotknuté osoby by mali mať právo na opravu osobných údajov, ktoré sa ich týkajú, a mali by mať „právo byť zabudnutý“, ak uchovávanie týchto údajov porušuje toto nariadenie alebo právo Únie alebo členského štátu, ktorému prevádzkovateľ podlieha. Dotknuté osoby by mali mať najmä právo na vymazanie svojich osobných údajov a na ich ďalšie spracúvanie, ak takéto osobné údaje už nie sú potrebné na účely, na ktoré boli zhromaždené alebo inak spracované, ak dotknuté osoby odvolali svoj súhlas so spracovaním alebo namietajú proti spracovaniu osobných údajov, ktoré sa ich týkajú, alebo ak je spracovanie ich osobných údajov inak v rozpore s týmto nariadením. Toto právo je relevantné najmä vtedy, ak dotknutá osoba udelila súhlas, keď bola dieťaťom, a nebola si plne vedomá rizík spojených so spracovaním, a následne si želá, aby boli tieto osobné údaje vymazané, najmä na internete. …
(Odôvodnenie 66) S cieľom posilniť digitálne „právo byť zabudnutý“ by sa malo rozšíriť aj právo na vymazanie, aby prevádzkovateľ, ktorý zverejnil osobné údaje, bol povinný informovať prevádzkovateľov spracúvajúcich tieto osobné údaje o tom, že akékoľvek odkazy na tieto údaje, ich kópie alebo reprodukcie by mali byť vymazané. …
(Odôvodnenie 67) Metódy na obmedzenie spracovania osobných údajov by mohli zahŕňať okrem iného dočasný presun vybraných údajov do iného systému spracovania, zneprístupnenie vybraných osobných údajov používateľom alebo dočasné odstránenie zverejnených údajov z webovej stránky. V automatizovaných systémoch spracovania by obmedzenie spracovania malo byť v zásade zabezpečené technickými prostriedkami takým spôsobom, aby osobné údaje neboli predmetom ďalších operácií spracovania a nemohli byť zmenené. Skutočnosť, že spracovanie osobných údajov je obmedzené, by mala byť v systéme spracovania jasne uvedená.
(Odôvodnenie 68) S cieľom ďalej posilniť kontrolu nad vlastnými údajmi by dotknuté osoby mali mať tiež právo v prípade, že sa osobné údaje spracúvajú automatizovanými prostriedkami, získať osobné údaje, ktoré sa ich týkajú a ktoré poskytli prevádzkovateľovi, v štruktúrovanom, bežne používanom, strojovo čitateľnom a interoperabilnom formáte a preniesť tieto údaje inému prevádzkovateľovi. Prevádzkovatelia by mali byť povzbudzovaní k vývoju interoperabilných formátov umožňujúcich prenosnosť údajov. …
(Odôvodnenie 69) Ak by osobné údaje mohli byť zákonne spracované, pretože spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo z dôvodu oprávnených záujmov prevádzkovateľa alebo tretej strany, dotknuté osoby by mali mať napriek tomu právo namietať proti spracovaniu akýchkoľvek osobných údajov týkajúcich sa ich konkrétnej situácie. Dôkazné bremeno, že jej presvedčivé oprávnené záujmy prevažujú nad záujmami alebo základnými právami a slobodami dotknutej osoby, by malo niesť prevádzkovateľ.
(Odôvodnenie 70) Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba by mala mať právo kedykoľvek a bezplatne namietať proti takémuto spracúvaniu vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom, či už ide o počiatočné spracovanie alebo o ďalšie spracovanie. …
(Odôvodnenie 71) Dotknutá osoba by mala mať právo nebyť predmetom rozhodnutia, ktoré môže zahŕňať opatrenie, zahŕňajúce hodnotenie určitých osobných aspektov, ktoré sa jej týkajú, ktoré je založené výlučne na automatizovanom spracovaní a ktoré má pre ňu právne účinky alebo ju podobne významne ovplyvňuje, ako napríklad automatické zamietnutie online žiadosti o úver alebo online náborové praktiky bez akéhokoľvek ľudského zásahu. Tento typ spracovania zahŕňa „profilovanie“, ktoré pozostáva z akejkoľvek formy automatizovaného spracovania osobných údajov na účely hodnotenia osobných aspektov týkajúcich sa fyzickej osoby, najmä na účely analýzy alebo predpovedania aspektov týkajúcich sa pracovného výkonu dotknutej osoby, jej ekonomickej situácie, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, alebo jej polohy a pohybu, pokiaľ to má pre dotknutú osobu právne účinky alebo ju podobne významne ovplyvňuje. …
(Odôvodnenie 73) Obmedzenia určitých špecifických zásad, ako aj práva na informácie, práva na prístup k osobným údajom, práva na opravu alebo vymazanie takýchto údajov, práva na prenosnosť údajov, práva namietať, práva na rozhodnutia založené na profilovaní, ako aj práva na oznámenie porušenia ochrany osobných údajov dotknutej osobe a určitých súvisiacich povinností prevádzkovateľov môžu byť stanovené právom Únie alebo členského štátu, …
(Odôvodnenie 74) Je vhodné stanoviť zodpovednosť prevádzkovateľa za akékoľvek spracovanie osobných údajov, ktoré vykonáva prevádzkovateľ alebo ktoré sa vykonáva v jeho mene. Najmä je dôležité, aby bol prevádzkovateľ povinný zaviesť vhodné a účinné opatrenia a aby bol schopný preukázať súlad činností spracovania s týmto nariadením vrátane účinnosti týchto opatrení. …
(Odôvodnenie 75) Riziká pre práva a slobody fyzických osôb, ktorých pravdepodobnosť a závažnosť sa líšia, môžu vyplývať zo spracovania osobných údajov, ktoré pravdepodobne povedie k fyzickej, materiálnej alebo nemajetkovej ujme, najmä: ak spracovanie môže viesť k diskriminácii, krádeži identity alebo podvodu, finančnej strate, poškodeniu reputácie, strate dôvernosti údajov chránených služobným tajomstvom, neoprávnenému zrušeniu procesu pseudonymizácie alebo akejkoľvek inej významnej ekonomickej alebo sociálnej ujme; ak dotknuté osoby môžu byť zbavené svojich práv a slobôd alebo im môže byť zabránené v kontrole nad svojimi osobnými údajmi; ak sa spracovanie týka osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické presvedčenie, členstvo v odboroch, ako aj genetických údajov, údajov o zdraví alebo údajov týkajúcich sa sexuálneho života alebo údajov týkajúcich sa odsúdení za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení; ak sa hodnotia osobné aspekty, najmä v kontexte analýzy alebo predpovedania prvkov týkajúcich sa pracovného výkonu, ekonomickej situácie, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, miesta alebo pohybu, s cieľom vytvoriť alebo používať individuálne profily; ak sa spracovanie týka osobných údajov týkajúcich sa zraniteľných fyzických osôb, najmä detí; alebo keď sa spracovanie týka veľkého objemu osobných údajov a ovplyvňuje veľký počet dotknutých osôb.
(Odôvodnenie 76) Pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutej osoby by sa mali určiť s ohľadom na povahu, rozsah, kontext a účely spracovania. …
(Odôvodnenie 78) Ochrana práv a slobôd fyzických osôb v súvislosti so spracovaním osobných údajov si vyžaduje prijatie vhodných technických a organizačných opatrení na zabezpečenie súladu s požiadavkami tohto nariadenia. Aby bolo možné preukázať súlad s týmto nariadením, prevádzkovateľ by mal prijať interné pravidlá a zaviesť opatrenia, ktoré rešpektujú najmä zásady ochrany údajov už v štádiu návrhu a štandardnej ochrany údajov. Takéto opatrenia by mohli zahŕňať okrem iného minimalizáciu spracovania osobných údajov, pseudonymizáciu osobných údajov, kde je to možné, zabezpečenie transparentnosti, pokiaľ ide o funkcie a spracovanie osobných údajov, umožnenie dotknutej osobe kontrolovať spracovanie údajov, umožnenie prevádzkovateľovi implementovať alebo vylepšovať bezpečnostné prvky. Pri vývoji, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sa spoliehajú na spracovanie osobných údajov alebo spracúvajú osobné údaje na vykonávanie svojich funkcií, by sa výrobcovia produktov, poskytovatelia služieb a výrobcovia aplikácií mali nabádať k tomu, aby pri vývoji a navrhovaní takýchto produktov, služieb a aplikácií zohľadňovali právo na ochranu údajov a s náležitým ohľadom na najmodernejšie technológie zabezpečili, aby prevádzkovatelia a sprostredkovatelia boli schopní plniť si svoje povinnosti v oblasti ochrany údajov. Zásady ochrany údajov už v štádiu návrhu a štandardnej ochrany údajov by sa mali zohľadňovať aj pri verejnom obstarávaní.
(Odôvodnenie 79) Ochrana práv a slobôd dotknutých osôb, ako aj zodpovednosť prevádzkovateľov a sprostredkovateľov, a to aj v kontexte dohľadu zo strany dozorných orgánov a opatrení, ktoré prijímajú, si vyžaduje jasné rozdelenie zodpovedností podľa tohto nariadenia, …
(Odôvodnenie 80) Ak prevádzkovateľ alebo sprostredkovateľ, ktorý nie je usadený v Únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, a jeho spracovateľské činnosti súvisia s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii, bez ohľadu na to, či sa vyžaduje platba alebo nie, alebo s monitorovaním ich správania, v rozsahu, v akom sa uskutočňuje v rámci Únie, prevádzkovateľ alebo sprostredkovateľ by mal určiť zástupcu, pokiaľ spracúvanie nie je príležitostné, nezahŕňa rozsiahle spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa odsúdení za trestné činy a priestupkov a je nepravdepodobné, že by viedlo k riziku pre práva a slobody fyzických osôb, berúc do úvahy povahu, kontext, rozsah a účely spracúvania, alebo ak je prevádzkovateľom verejný orgán alebo subjekt. Zástupca by mal konať v mene prevádzkovateľa alebo sprostredkovateľa a môže byť kontaktovaný akýmkoľvek dozorným orgánom. Zástupca by mal byť výslovne určený písomným mandátom od prevádzkovateľa alebo sprostredkovateľa, aby konal v jeho mene v súvislosti s jeho povinnosťami podľa tohto nariadenia. Určenie tohto zástupcu sa nedotýka zodpovedností prevádzkovateľa alebo sprostredkovateľa podľa tohto nariadenia. …
(Odôvodnenie 81) Aby sa zabezpečilo splnenie požiadaviek tohto nariadenia v kontexte spracovania vykonávaného sprostredkovateľom v mene prevádzkovateľa, ak prevádzkovateľ zverí spracovateľské činnosti sprostredkovateľovi, prevádzkovateľ by mal využívať iba sprostredkovateľov, ktorí poskytujú dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na implementáciu technických a organizačných opatrení, ktoré budú spĺňať požiadavky tohto nariadenia vrátane bezpečnosti spracovania. …
(Odôvodnenie 82) S cieľom preukázať súlad s týmto nariadením by mal prevádzkovateľ alebo sprostredkovateľ viesť záznamy o činnostiach spracovania, za ktoré je zodpovedný. …
(Odôvodnenie 83) Aby sa zabezpečila bezpečnosť a zabránilo sa spracúvaniu v rozpore s týmto nariadením, je dôležité, aby prevádzkovateľ alebo sprostredkovateľ posúdil riziká spojené so spracúvaním a zaviedol opatrenia na ich zmiernenie, ako napríklad šifrovanie. Tieto opatrenia by mali zabezpečiť primeranú úroveň bezpečnosti vrátane dôvernosti, berúc do úvahy najmodernejšie technológie a náklady na implementáciu vo vzťahu k rizikám a povahe osobných údajov, ktoré sa majú chrániť. …
(Odôvodnenie 84) S cieľom lepšie zabezpečiť súlad s týmto nariadením v prípadoch, keď spracovateľské operácie pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb, by mal byť prevádzkovateľ zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom posúdiť najmä pôvod, povahu, špecifickosť a závažnosť tohto rizika. Výsledok tohto posúdenia by sa mal zohľadniť pri určovaní vhodných opatrení na preukázanie, že spracovanie osobných údajov je v súlade s týmto nariadením. Ak posúdenie vplyvu na ochranu údajov preukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť prijatím vhodných opatrení, berúc do úvahy dostupné techniky a náklady spojené s ich implementáciou, pred spracovaním by sa mal uskutočniť konzultácia s dozorným orgánom.
(Odôvodnenie 85) Porušenie ochrany osobných údajov môže, ak sa neprijmú včasné a vhodné opatrenia, spôsobiť dotknutým fyzickým osobám fyzickú, materiálnu alebo morálnu ujmu, ako napríklad stratu kontroly nad ich osobnými údajmi alebo obmedzenie ich práv, diskrimináciu, krádež identity alebo podvod, finančnú stratu, neoprávnené zrušenie postupu pseudonymizácie, poškodenie reputácie, stratu dôvernosti osobných údajov chránených služobným tajomstvom alebo inú významnú hospodársku alebo sociálnu ujmu. Preto by mal prevádzkovateľ hneď, ako sa dozvie o porušení ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od zistenia tejto skutočnosti informovať dozorný orgán, pokiaľ v súlade so zásadou zodpovednosti nepreukáže, že dané porušenie pravdepodobne nepovedie k riziku pre práva a slobody fyzických osôb. Ak takéto oznámenie nemožno poskytnúť do 72-hodinovej lehoty, oznámenie by malo byť sprevádzané dôvodmi omeškania a informácie sa môžu poskytovať postupne bez ďalšieho zbytočného odkladu.
(Odôvodnenie 86) Prevádzkovateľ by mal bez zbytočného odkladu informovať dotknutú osobu o porušení ochrany osobných údajov, ak je pravdepodobné, že porušenie povedie k vysokému riziku pre práva a slobody fyzickej osoby, aby dotknutá osoba mohla prijať vhodné opatrenia. …
(Odôvodnenie 87) Malo by sa overiť, či boli zavedené všetky vhodné technické a organizačné záruky na okamžité zistenie, či došlo k porušeniu ochrany osobných údajov, a na bezodkladné informovanie dozorného orgánu a dotknutej osoby. …
(Odôvodnenie 91) Toto by sa malo vzťahovať najmä na rozsiahle spracovateľské operácie, ktorých cieľom je spracovať značné množstvo osobných údajov na regionálnej, národnej alebo nadnárodnej úrovni, ktoré môžu ovplyvniť značný počet dotknutých osôb a ktoré pravdepodobne predstavujú vysoké riziko, napríklad z dôvodu ich citlivosti, ak sa v súlade s najmodernejším stavom techniky vo veľkom rozsahu uplatňuje nová technika, ako aj na iné spracovateľské operácie, ktoré predstavujú vysoké riziko pre práva a slobody dotknutých osôb, najmä ak je v dôsledku takýchto operácií pre dotknuté osoby ťažšie uplatňovať si svoje práva. Posúdenie vplyvu na ochranu údajov by sa malo vykonať aj v prípade, ak sa osobné údaje spracúvajú na účely prijímania rozhodnutí týkajúcich sa konkrétnych fyzických osôb po systematickom a hĺbkovom hodnotení osobných aspektov špecifických pre fyzické osoby na základe profilovania týchto údajov alebo po spracovaní osobitných kategórií osobných údajov, biometrických údajov alebo údajov týkajúcich sa odsúdení za trestné činy a priestupky alebo súvisiacich bezpečnostných opatrení. …
(Odôvodnenie 92) Existujú prípady, v ktorých môže byť rozumné a nákladovo efektívne rozšíriť rozsah posúdenia vplyvu na ochranu údajov nad rámec jedného projektu, napríklad ak verejné orgány alebo verejné subjekty zamýšľajú zaviesť spoločnú aplikačnú alebo spracovateľskú platformu, alebo ak viacerí prevádzkovatelia zamýšľajú vytvoriť spoločné aplikačné alebo spracovateľské prostredie v celom sektore alebo profesionálnom segmente, alebo pre široko používanú medzifunkčnú činnosť.
(Odôvodnenie 94) Ak posúdenie vplyvu na ochranu údajov ukáže, že bez záruk, bezpečnostných opatrení a mechanizmov na zmiernenie rizika by spracovanie viedlo k vysokému riziku pre práva a slobody fyzických osôb a prevádzkovateľ sa domnieva, že riziko nemožno zmierniť primeranými prostriedkami berúc do úvahy dostupnú technológiu a náklady na implementáciu, pred začatím spracovania by sa mala uskutočniť konzultácia s dozorným orgánom. …
(Odôvodnenie 97) Ak spracovanie vykonáva verejný orgán s výnimkou súdov alebo nezávislých súdnych orgánov konajúcich v rámci svojej súdnej právomoci, ak v súkromnom sektore spracovanie vykonáva prevádzkovateľ, ktorého hlavné činnosti pozostávajú zo spracovateľských operácií vyžadujúcich pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak hlavné činnosti prevádzkovateľa alebo sprostredkovateľa pozostávajú zo spracúvania osobitných kategórií osobných údajov a údajov týkajúcich sa odsúdení za trestné činy a priestupkov, prevádzkovateľovi alebo sprostredkovateľovi by mala pri overovaní interného súladu s týmto nariadením pomáhať osoba s odbornými znalosťami práva a praxe v oblasti ochrany údajov. …
(Odôvodnenie 98) Združenia alebo iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by mali byť povzbudzované k vypracovaniu kódexov správania v medziach tohto nariadenia s cieľom uľahčiť jeho správne uplatňovanie, berúc do úvahy špecifiká spracúvania vykonávaného v určitých sektoroch a špecifické potreby mikropodnikov, malých a stredných podnikov. …
(Odôvodnenie 101) Toky osobných údajov do a z krajín mimo Únie a medzinárodných organizácií sú nevyhnutné pre rozvoj medzinárodného obchodu a medzinárodnej spolupráce. Zvýšenie takýchto tokov vytvorilo nové výzvy a obavy týkajúce sa ochrany osobných údajov. Je však dôležité, aby pri prenose osobných údajov z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám nebola ohrozená úroveň ochrany fyzických osôb zaručená v Únii týmto nariadením, a to aj v prípade ďalších prenosov osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom alebo sprostredkovateľom v tej istej alebo inej tretej krajine alebo inej medzinárodnej organizácii. V každom prípade sa prenosy do tretích krajín a medzinárodným organizáciám môžu uskutočňovať len v úplnom súlade s týmto nariadením. …
(Odôvodnenie 103) Komisia môže rozhodnúť s účinnosťou v celej Únii, že tretia krajina, územie alebo konkrétny sektor v tretej krajine alebo medzinárodná organizácia ponúka primeranú úroveň ochrany údajov, čím sa zabezpečí právna istota a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za poskytujúcu takúto úroveň ochrany. V takom prípade sa prenosy osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácie môžu uskutočniť bez potreby získania ďalšieho povolenia. …
(Odôvodnenie 104) Vzhľadom na základné hodnoty, na ktorých je Únia založená, najmä ochranu ľudských práv, by Komisia mala pri posudzovaní tretej krajiny, územia alebo konkrétneho sektora v rámci tretej krajiny zohľadniť spôsob, akým konkrétna tretia krajina rešpektuje zásady právneho štátu, zabezpečuje prístup k spravodlivosti a dodržiava medzinárodné pravidlá a normy v oblasti ľudských práv, ako aj svoje všeobecné a sektorové právne predpisy vrátane právnych predpisov o verejnej bezpečnosti, obrane a národnej bezpečnosti, ako aj o verejnom poriadku a trestnom práve. …
(Odôvodnenie 105) Okrem medzinárodných záväzkov, ktoré tretia krajina alebo medzinárodná organizácia prijala, by Komisia mala zohľadniť aj záväzky vyplývajúce z účasti tretej krajiny alebo medzinárodnej organizácie v multilaterálnych alebo regionálnych systémoch, najmä pokiaľ ide o ochranu osobných údajov, a plnenie týchto záväzkov. Zohľadniť by sa malo najmä pristúpenie tretej krajiny k Dohovoru Rady Európy z 28. januára 1981 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov a k jeho dodatkovému protokolu. …
(Odôvodnenie 108) V prípade neexistencie rozhodnutia o primeranosti by prevádzkovateľ alebo sprostredkovateľ mal prijať opatrenia na kompenzáciu nedostatočnej ochrany údajov v tretej krajine prostredníctvom vhodných záruk pre dotknutú osobu. …
(Odôvodnenie 109) Možnosť prevádzkovateľov a sprostredkovateľov používať štandardné doložky o ochrane údajov prijaté Komisiou alebo dozorným orgánom by im nemala brániť v zahrnutí týchto doložiek do širšej zmluvy, ako je napríklad zmluva medzi sprostredkovateľom a iným sprostredkovateľom, alebo v pridaní ďalších doložiek alebo dodatočných záruk, za predpokladu, že tieto priamo ani nepriamo neodporujú štandardným zmluvným doložkám prijatým Komisiou alebo dozorným orgánom a nemajú nepriaznivý vplyv na základné práva a slobody dotknutých osôb. …
(Odôvodnenie 110) Skupina podnikov alebo skupina podnikov vykonávajúcich spoločnú hospodársku činnosť by mala mať možnosť používať schválené záväzné podnikové pravidlá pre svoje medzinárodné prenosy z Únie subjektom v tej istej skupine podnikov alebo v tej istej skupine podnikov vykonávajúcich spoločnú hospodársku činnosť, za predpokladu, že tieto podnikové pravidlá zahŕňajú všetky základné zásady a vymáhateľné práva na zabezpečenie primeraných záruk pre prenosy alebo kategórie prenosov osobných údajov.
(Odôvodnenie 114) V každom prípade, ak Komisia nezaujala stanovisko k primeranosti úrovne ochrany údajov v tretej krajine, prevádzkovateľ alebo sprostredkovateľ by mal prijať riešenia, ktoré dotknutým osobám zaručia vymáhateľné a účinné práva v súvislosti so spracovaním ich údajov v Únii po ich prenose, aby tieto dotknuté osoby naďalej požívali základné práva a záruky.
(Odôvodnenie 116) Keď osobné údaje prekročia vonkajšie hranice Únie, môže to zvýšiť riziko, že jednotlivci nebudú môcť uplatniť svoje práva na ochranu údajov, najmä sa chrániť pred nezákonným použitím alebo zverejnením týchto informácií. … Preto je potrebné podporovať užšiu spoluprácu medzi dozornými orgánmi pre ochranu údajov, aby im pomohla vymieňať si informácie a viesť vyšetrovania s ich medzinárodnými partnermi. …
(Odôvodnenie 121) Všeobecné podmienky vzťahujúce sa na člena (členov) dozorného orgánu by mali byť stanovené zákonom v každom členskom štáte a mali by najmä stanoviť, že títo členovia sú vymenovaní v súlade s transparentným postupom parlamentom, vládou alebo hlavou štátu daného členského štátu na návrh vlády alebo člena vlády, alebo z parlamentu alebo parlamentnej komory, alebo nezávislým orgánom povereným touto úlohou podľa práva členského štátu. …
(Odôvodnenie 122) Každý dozorný orgán by mal byť na území svojho členského štátu príslušný vykonávať úlohy a právomoci, ktoré mu boli zverené v súlade s týmto nariadením. …
(Odôvodnenie 124) Ak sa spracúvanie osobných údajov uskutočňuje v kontexte činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii a tento prevádzkovateľ alebo sprostredkovateľ je usadený vo viac ako jednom členskom štáte, alebo ak spracúvanie, ktoré sa uskutočňuje v kontexte činností jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii, podstatne ovplyvňuje alebo pravdepodobne podstatne ovplyvní dotknuté osoby vo viac ako jednom členskom štáte, dozorný orgán, ktorý má právomoc nad hlavnou alebo jedinou prevádzkarňou prevádzkovateľa alebo sprostredkovateľa, by mal konať ako vedúci orgán. …
(Odôvodnenie 125) Vedúci orgán by mal byť oprávnený prijímať záväzné rozhodnutia o opatreniach na vykonávanie právomocí, ktoré mu boli udelené v súlade s týmto nariadením. Dozorný orgán by mal vo svojej funkcii vedúceho orgánu úzko zapojiť príslušné dozorné orgány do rozhodovacieho procesu a zabezpečiť v tejto súvislosti úzku koordináciu. …
(Odôvodnenie 129) S cieľom zabezpečiť konzistentné presadzovanie a monitorovanie tohto nariadenia v celej Únii by dozorné orgány mali mať v každom členskom štáte rovnaké úlohy a účinné právomoci vrátane vyšetrovacích právomocí, právomoci prijímať nápravné opatrenia a ukladať sankcie, ako aj právomoci povoľovať a vydávať poradné stanoviská, najmä v prípade sťažností podaných fyzickými osobami, a bez toho, aby boli dotknuté právomoci orgánov činných v trestnom konaní podľa práva členského štátu, právomoc upozorniť súdne orgány na porušenia tohto nariadenia a podniknúť právne kroky. Tieto právomoci by mali zahŕňať aj právomoc uložiť dočasné alebo trvalé obmedzenie spracovania vrátane zákazu. …
(Odôvodnenie 130) Ak dozorný orgán, ktorému bola sťažnosť podaná, nie je vedúcim dozorným orgánom, vedúci dozorný orgán by mal úzko spolupracovať s dozorným orgánom, ktorému bola sťažnosť podaná, v súlade s ustanoveniami o spolupráci a konzistentnosti stanovenými v tomto nariadení. …
(Odôvodnenie 137) Na ochranu práv a slobôd dotknutých osôb môže byť potrebné urgentné konanie, najmä ak existuje nebezpečenstvo, že výkon práva dotknutej osoby by mohol byť výrazne sťažený. Dozorný orgán by preto mal mať možnosť prijať na svojom území predbežné opatrenia, ktoré sú riadne odôvodnené a majú stanovenú dobu platnosti, ktorá by nemala presiahnuť tri mesiace.
(Odôvodnenie 138) Uplatnenie takéhoto mechanizmu by malo podmieňovať zákonnosť opatrenia, ktoré má vyvolať právne účinky a ktoré prijal dozorný orgán v prípadoch, keď je takéto uplatnenie povinné. …
(Odôvodnenie 141) Každá dotknutá osoba by mala mať právo podať sťažnosť jedinému dozornému orgánu, najmä v členskom štáte, v ktorom má svoj obvyklý pobyt, a právo na účinný súdny prostriedok nápravy v súlade s článkom 47 Charty, ak sa domnieva, že jej práva podľa tohto nariadenia boli porušené, alebo ak dozorný orgán nekoná na základe jej sťažnosti, zamietne ju alebo ju úplne alebo čiastočne zamietne, alebo nekoná, keď je potrebné konať na ochranu práv dotknutej osoby. Vyšetrovanie po sťažnosti by sa malo viesť pod súdnym dohľadom v rozsahu, ktorý si vyžaduje konkrétny prípad.
(Odôvodnenie 142) Ak sa dotknutá osoba domnieva, že jej práva podľa tohto nariadenia boli porušené, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s právom členského štátu, ktorého zákonné ciele sú vo verejnom záujme a ktoré pôsobí v oblasti ochrany osobných údajov, aby v jej mene podali sťažnosť dozornému orgánu, aby uplatnili právo na súdny prostriedok nápravy v mene dotknutých osôb alebo, ak to ustanovuje právo členského štátu, aby uplatnili právo na odškodnenie v mene dotknutých osôb. …
(Odôvodnenie 143) Každá fyzická alebo právnická osoba má právo podať žalobu o neplatnosť rozhodnutí výboru na Súdny dvor za podmienok stanovených v článku 263 Zmluvy o fungovaní Európskej únie. Po doručení takýchto rozhodnutí ich príslušné dozorné orgány, ktoré ich chcú napadnúť, musia napadnúť do dvoch mesiacov od ich oznámenia v súlade s článkom 263 Zmluvy o fungovaní Európskej únie. …
Ak dozorný orgán sťažnosť zamietol alebo ju zamietol, sťažovateľ môže podať žalobu na súdy toho istého členského štátu. …
(Odôvodnenie 144) Ak má súd, na ktorý bola podaná žaloba proti rozhodnutiu dozorného orgánu, dôvod domnievať sa, že na príslušný súd v inom členskom štáte sa podávajú žaloby týkajúce sa rovnakého spracovania, napríklad rovnakého predmetu, vykonávaného tým istým prevádzkovateľom alebo sprostredkovateľom, alebo rovnakej príčiny žaloby, mal by sa obrátiť na tento iný súd, aby potvrdil existenciu takýchto súvisiacich žalôb. …
(Odôvodnenie 145) Pokiaľ ide o žaloby proti prevádzkovateľovi alebo sprostredkovateľovi, žiadateľ by mal mať možnosť podať žalobu na súdy členských štátov, v ktorých má prevádzkovateľ alebo sprostredkovateľ prevádzkareň, alebo v členskom štáte, v ktorom má dotknutá osoba bydlisko, pokiaľ prevádzkovateľom nie je verejný orgán členského štátu konajúci pri výkone svojich verejných právomocí.
(Odôvodnenie 146) Prevádzkovateľ alebo sprostredkovateľ by mal nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracovania vykonaného v rozpore s týmto nariadením. Prevádzkovateľ alebo sprostredkovateľ by mal byť zbavený zodpovednosti, ak preukáže, že škoda mu v žiadnom prípade nie je pripísateľná. … Ak sú však prevádzkovatelia a sprostredkovatelia zapojení do toho istého súdneho konania, v súlade s právom členského štátu sa náhrada škody môže rozdeliť podľa podielu zodpovednosti každého prevádzkovateľa alebo sprostredkovateľa za škodu spôsobenú spracovaním za predpokladu, že škoda, ktorú dotknutá osoba utrpela, je plne a účinne nahradená. …
(Odôvodnenie 148) S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa za každé porušenie tohto nariadenia mali ukladať sankcie vrátane správnych pokút, a to popri vhodných opatreniach uložených dozorným orgánom podľa tohto nariadenia alebo namiesto nich. V prípade menej závažného porušenia alebo ak by uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, namiesto pokuty možno udeliť napomenutie. Mala by sa však náležite zohľadniť povaha, závažnosť a trvanie porušenia, úmyselná povaha porušenia a opatrenia prijaté na zmiernenie spôsobenej škody, miera zodpovednosti alebo akékoľvek predchádzajúce relevantné porušenia, spôsob, akým sa dozorný orgán o porušení dozvedel, dodržiavanie opatrení nariadených voči prevádzkovateľovi alebo sprostredkovateľovi, uplatňovanie kódexu správania a akékoľvek iné priťažujúce alebo poľahčujúce okolnosti. Uplatňovanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Charty vrátane práva na účinnú súdnu ochranu a riadny proces.
(Odôvodnenie 150) S cieľom posilniť a harmonizovať správne sankcie uplatniteľné na porušenia tohto nariadenia by mal mať každý dozorný orgán právomoc ukladať správne pokuty. Toto nariadenie by malo vymedziť porušenia, maximálnu výšku a kritériá na stanovenie správnych pokút, ktorým podliehajú, ktoré by mal stanoviť príslušný dozorný orgán v každom jednotlivom prípade, berúc do úvahy všetky špecifické charakteristiky každého prípadu a s náležitým ohľadom najmä na povahu, závažnosť a trvanie porušenia a jeho následky, ako aj na opatrenia prijaté na zabezpečenie súladu s povinnosťami vyplývajúcimi z nariadenia a na predchádzanie alebo zmierňovanie následkov porušenia. …
(Odôvodnenie 152) Ak toto nariadenie neharmonizuje správne sankcie alebo v prípade potreby za iných okolností, napríklad v prípadoch závažných porušení tohto nariadenia, členské štáty by mali zaviesť systém, ktorý zabezpečí účinné, primerané a odrádzajúce sankcie. Povahu týchto sankcií, či už trestnoprávnych alebo správnych, by mali určiť právne predpisy členských štátov.
(Odôvodnenie 153) Právne predpisy členských štátov by mali zosúladiť pravidlá upravujúce slobodu prejavu a informácií vrátane novinárskeho, akademického, umeleckého alebo literárneho vyjadrenia s právom na ochranu osobných údajov podľa tohto nariadenia. V kontexte spracovania osobných údajov výlučne na novinárske účely alebo na účely akademického, umeleckého alebo literárneho vyjadrenia by sa mali stanoviť odchýlky alebo výnimky z určitých ustanovení tohto nariadenia, ak je to potrebné na zosúladenie práva na ochranu osobných údajov s právom na slobodu prejavu a informácií, ako je zakotvené v článku 11 Charty. …
(Odôvodnenie 154) Toto nariadenie umožňuje zohľadniť zásadu verejného prístupu k úradným dokumentom pri jeho uplatňovaní. Verejný prístup k úradným dokumentom sa môže považovať za verejný záujem. …
(Odôvodnenie 155) Právne predpisy členského štátu alebo kolektívne zmluvy vrátane „podnikových zmlúv“ môžu stanoviť osobitné pravidlá týkajúce sa spracovania osobných údajov zamestnancov v kontexte pracovnoprávnych vzťahov vrátane podmienok, za ktorých možno osobné údaje v kontexte pracovnoprávnych vzťahov spracúvať na základe súhlasu zamestnanca, na účely náboru, plnenia pracovnej zmluvy vrátane dodržiavania povinností stanovených zákonom alebo kolektívnymi zmluvami, riadenia, plánovania a organizácie práce, rovnosti a rozmanitosti na pracovisku, bezpečnosti a ochrany zdravia pri práci a na účely uplatňovania a požívania zamestnaneckých práv a výhod, individuálne alebo kolektívne, ako aj na účely ukončenia pracovnoprávneho vzťahu.
(Odôvodnenie 162) Ak sa osobné údaje spracúvajú na štatistické účely, malo by sa na toto spracúvanie vzťahovať toto nariadenie. Právo Únie alebo členského štátu by malo v medziach tohto nariadenia určiť štatistický obsah, vymedziť kontrolu prístupu k údajom a stanoviť osobitné ustanovenia pre spracúvanie osobných údajov na štatistické účely a vhodné opatrenia na ochranu práv a slobôd dotknutej osoby a na zachovanie štatistickej dôvernosti. …
(Odôvodnenie 163) Dôverné informácie zhromažďované štatistickými orgánmi Únie a členských štátov na účely tvorby oficiálnych európskych a národných štatistík by mali byť chránené. …
(Odôvodnenie 164) Pokiaľ ide o právomoci dozorných orgánov získať od prevádzkovateľa alebo sprostredkovateľa prístup k osobným údajom a prístup do svojich priestorov, členské štáty môžu v medziach tohto nariadenia prijať zákonom osobitné pravidlá na zabezpečenie povinnosti zachovávať služobné tajomstvo alebo iných rovnocenných povinností zachovávať mlčanlivosť, pokiaľ je to potrebné na zosúladenie práva na ochranu osobných údajov a povinnosti zachovávať služobné tajomstvo. …
(Odôvodnenie 166) Na dosiahnutie cieľov tohto nariadenia, a to ochrany základných práv a slobôd fyzických osôb, a najmä ich práva na ochranu osobných údajov, a zabezpečenia voľného pohybu takýchto údajov v rámci Únie, by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 Zmluvy o fungovaní Európskej únie. Mali by sa prijať najmä delegované akty týkajúce sa kritérií a požiadaviek na certifikačné mechanizmy, informácií, ktoré sa majú prezentovať vo forme štandardizovaných ikon, a postupov poskytovania takýchto ikon. …
(Odôvodnenie 168) Vzhľadom na všeobecný rozsah príslušných aktov by sa na prijímanie vykonávacích aktov týkajúcich sa štandardných zmluvných doložiek medzi prevádzkovateľmi a sprostredkovateľmi a medzi sprostredkovateľmi; kódexov správania; technických noriem a certifikačných mechanizmov; … mal použiť postup preskúmania.
(Odôvodnenie 170) Keďže cieľ tohto nariadenia, a to zabezpečenie rovnocennej úrovne ochrany fyzických osôb a voľného toku osobných údajov v celej Únii, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu rozsahu alebo účinkov opatrenia ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia, …
SK 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SL