Rada Európskej únie V Bruseli 31. marca 2016 (OR. en)

Veľkosť: px
Začať zobrazovať zo stránky:

Download "Rada Európskej únie V Bruseli 31. marca 2016 (OR. en)"

Prepis

1 Rada Európskej únie V Bruseli 31. marca 2016 (OR. en) Medziinštitucionálny spis: 2012/0011 (COD) 5419/16 ADD 1 REV 1 NÁVRH ODÔVODNENÉHO STANOVIA RADY Predmet: DATAPROTECT 2 JAI 38 MI 25 DIGIT 21 DAPIX 9 FREMP 4 CODEC 52 Pozícia Rady v prvom čítaní na účely prijatia NARIADENIA EURÓPEHO PARLAMENTU A RADY o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, a ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) návrh odôvodneného stanoviska Rady %[ ]MD:DocNr%%MD:FirstRevNr%/%MD:Y ear% %MD:Suff% ar/esh/mn 1

2 I. ÚVOD Komisia 25. januára 2012 navrhla komplexnú reformu ochrany údajov, ktorá zahŕňa: uvedený návrh všeobecného nariadenia o ochrane údajov, ktorým sa má nahradiť smernica o ochrane údajov z roku 1995 (bývalý prvý pilier), návrh smernice o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov, ktorým sa má nahradiť rámcové rozhodnutie o ochrane údajov z roku 2008 (bývalý tretí pilier). Európsky parlament prijal pozíciu k navrhovanému všeobecnému nariadeniu o ochrane údajov v prvom čítaní 12. marca 2014 (7427/14). Rada sa dohodla na všeobecnom smerovaní 15. júna 2015; predsedníctvo tak nadobudlo mandát začať rokovania v rámci trialógov s Európskym parlamentom (9565/15). Európsky parlament potvrdil dohodu o kompromisnom znení, ktorá sa dosiahla počas rokovaní v rámci trialógov, na úrovni Výboru pre občianske slobody, spravodlivosť a vnútorné veci 17. decembra 2015 a Rada na úrovni Výboru stálych predstaviteľov 18. decembra Rada dosiahla politickú dohodu o návrhu nariadenia (5455/15) na zasadnutí 12. februára Rada na zasadnutí 21. apríla 2016 prijala svoju pozíciu v prvom čítaní, ktorá v plnej miere zodpovedá kompromisnému zneniu nariadenia dohodnutému počas neformálnych rokovaní medzi Radou a Európskym parlamentom. Hospodársky a sociálny výbor predložil stanovisko k nariadeniu v roku 2012 (Ú. v. EÚ C 229, , s. 90). 5419/16 ADD 1 REV 1 ar/esh/mn 2

3 Výbor regiónov predložil k nariadeniu stanovisko (Ú. v. EÚ C 391, , s. 127). Európsky dozorný úradník pre ochranu údajov bol konzultovaný a prvé stanovisko prijal v roku 2012 (Ú. v. EÚ C 192, , s. 7) a druhé stanovisko v roku 2015 (Ú. v. EÚ C 301, , s. 1 8). Agentúra pre základné práva predložila stanovisko 1. októbra II. CIEĽ Všeobecným nariadením o ochrane údajov sa zosúlaďujú pravidlá ochrany údajov v Európskej únii. Cieľom nariadenia je posilniť práva fyzických osôb na ochranu údajov, uľahčiť voľný tok osobných údajov v rámci jednotného trhu a znížiť administratívne zaťaženie. III. ANALÝZA POZÍCIE RADY V PRVOM ČÍTANÍ A. Všeobecné pripomienky Európsky parlament a Rada viedli so zreteľom na cieľ Európskej rady dosiahnuť dohodu o reforme ochrany údajov do konca roka 2015 neformálne rokovania, aby priblížili svoje pozície. V znení pozície Rady k všeobecnému nariadeniu o ochrane údajov v prvom čítaní sa v plnej miere odzrkadľuje kompromis oboch spoluzákonodarcov, ktorý dosiahli s pomocou Európskej komisie. V pozícii Rady v prvom čítaní sa zachovávajú ciele smernice 95/46/ES: ochrana práv na ochranu údajov a voľný tok údajov. Zároveň je jej cieľom prispôsobenie pravidiel ochrany údajov platných v súčasnosti neustále narastajúcemu objemu osobných údajov, ktoré sa spracúvajú v dôsledku technologických zmien a globalizácie. V záujme nadčasového charakteru tohto nariadenia sú pravidlá ochrany údajov v pozícii Rady v prvom čítaní technologicky neutrálne. 5419/16 ADD 1 REV 1 ar/esh/mn 3

4 S cieľom zabezpečiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré by obmedzovali voľný pohyb osobných údajov v rámci vnútorného trhu, sa v pozícii Rady v prvom čítaní v značnej miere ustanovuje jednotný súbor pravidiel, ktoré sú priamo uplatniteľné v celej Únii. Týmto zosúladením sa odstráni problém fragmentácie pochádzajúci z rôznych právnych predpisov členských štátov, ktorými sa vykonáva smernica 95/46. V pozícii Rady v prvom čítaní sa však s cieľom zohľadniť požiadavky týkajúce sa osobitných situácií spracúvania údajov, a to aj vo vzťahu k verejnému sektoru, umožňuje členským štátom spresniť vo vnútroštátnom práve uplatňovanie pravidiel ochrany údajov stanovených v nariadení. Právo na ochranu osobných údajov je základným právom zakotveným v článku 8 ods. 1 Charty základných práv Európskej únie. Navyše, v článku 16 Zmluvy o fungovaní Európskej únie sa ustanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú, a to bez ohľadu na štátnu príslušnosť alebo bydlisko, a že je potrebné stanoviť pravidlá na tento účel a na účel voľného pohybu osobných údajov. Preto sa v pozícii Rady v prvom čítaní ustanovujú zásady a pravidlá ochrany fyzických osôb pri spracúvaní ich osobných údajov. S cieľom dosiahnuť ciele nariadenia sa v pozícii Rady v prvom čítaní posilňuje v záujme podpory skutočnej kultúry ochrany údajov zodpovednosť prevádzkovateľov (zodpovedných za stanovenie účelu a prostriedkov spracúvania osobných údajov) a sprostredkovateľov (zodpovedných za spracúvanie osobných údajov v mene prevádzkovateľa). Vzhľadom na uvedené skutočnosti sa v celom nariadení zavádza prístup založený na posúdení rizika, ktorý umožňuje úpravu povinností prevádzkovateľa a sprostredkovateľa podľa rizika nimi vykonávaného spracúvania údajov. K dodržiavaniu pravidiel ochrany údajov prispievajú aj kódexy správania a certifikačné mechanizmy. Týmto prístupom sa predchádza príliš normatívnym pravidlám a znižuje administratívne zaťaženie bez toho, aby sa znížilo dodržiavanie pravidiel. Okrem toho, odrádzajúci charakter potenciálnych sankcií, ktoré možno uložiť, motivuje prevádzkovateľov k dodržiavaniu nariadenia. 5419/16 ADD 1 REV 1 ar/esh/mn 4

5 Novými pravidlami ochrany údajov stanovenými v pozícii Rady v prvom čítaní sa ustanovujú aj posilnené a vymáhateľné práva pre občanov. Umožňuje to fyzickým osobám lepšiu kontrolu ich osobných údajov, čo vedie k väčšej dôvere v cezhraničné služby on-line, ktorými sa posilní jednotný digitálny trh. Osobitnú ochranu si vyžadujú deti, pretože si môžu byť menej vedomé rizík spojených so spracúvaním osobných údajov, ako aj svojich práv. Okrem toho, pozíciou Rady v prvom čítaní sa posilňuje nezávislosť dozorných orgánov a zároveň zosúlaďujú ich úlohy a právomoci. Pravidlá spolupráce medzi dozornými orgánmi a prípadne aj s Komisiou pri cezhraničných prípadoch mechanizmus konzistentnosti bude prispievať k jednotnému uplatňovaniu nariadenia v celej Európskej únii. Zvýši sa tým právna istota a zníži sa administratívne zaťaženie. Mechanizmus jediného kontaktného miesta bude okrem toho jediným partnerom pre prevádzkovateľov a sprostredkovateľov vo vzťahu k ich cezhraničnému spracúvaniu, vrátane záväzných rozhodnutí v sporoch zo strany novozriadeného Európskeho výboru pre ochranu údajov. Vďaka tomuto mechanizmu bude uplatňovanie nariadenia konzistentnejšie. Okrem toho sa tým zabezpečí väčšia právna istota a zníži administratívne zaťaženie. Napokon, v pozícii Rady v prvom čítaní sa stanovuje komplexný rámec na prenos osobných údajov z Európskej únie príjemcom v tretích krajinách alebo medzinárodných organizáciách a v porovnaní so smernicou 95/46/ES sa poskytujú nové nástroje. B. Hlavné otázky Počas neformálnych rokovaní Rada a Európsky parlament priblížili s pomocou Európskej komisie svoje stanoviská uvedené vo všeobecnom smerovaní Rady a v pozícii Parlamentu v prvom čítaní. V pozícii Rady v prvom čítaní k všeobecnému nariadeniu o ochrane údajov sa v plnej miere odráža dosiahnutý kompromis. Pozícia Rady v prvom čítaní obsahuje nasledujúce hlavné otázky. 5419/16 ADD 1 REV 1 ar/esh/mn 5

6 1. Rozsah pôsobnosti 1.1. Vecná pôsobnosť nariadenia a vymedzenie voči smernici o presadzovaní práva V pozícii Rady v prvom čítaní sa ustanovuje, že všeobecné nariadenie o ochrane údajov sa vzťahuje na spracúvanie osobných údajov, ktoré sa vykonáva úplne alebo čiastočne automatizovanými prostriedkami, a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria časť akéhokoľvek štruktúrovaného súboru osobných údajov prístupných na základe určitých kritérií, alebo osobných údajov, ktoré majú tvoriť časť takéhoto štruktúrovaného súboru. Vecná pôsobnosť všeobecného nariadenia o ochrane údajov a rozsah pôsobnosti smernice o ochrane údajov v oblasti presadzovania práva sa navzájom vylučujú. Konštatuje sa, že nariadenie sa nevzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania. Toto vymedzenie umožňuje orgánom presadzovania práva, najmä polícii, uplatňovať spravidla režim ochrany údajov podľa tejto smernice a zároveň zabezpečiť konzistentnú a vysokú úroveň ochrany osobných údajov fyzických osôb, ktoré podliehajú operáciám presadzovania práva Inštitúcie a orgány EÚ S cieľom zabezpečiť jednotnú a konzistentnú ochranu dotknutých osôb pri spracúvaní ich osobných údajov sa v pozícii Rady v prvom čítaní uvádza, že potrebné úpravy nariadenia (ES) č. 45/2001, ktoré sa vzťahuje na inštitúcie, orgány, úrady a agentúry EÚ, by mali nasledovať po prijatí všeobecného nariadenia o ochrane údajov, aby sa mohlo uplatňovať súčasne so všeobecným nariadením o ochrane údajov Výnimka pre domácnosti S cieľom vyhnúť sa stanoveniu pravidiel, ktoré by viedli v k vytvoreniu zbytočnej záťaže pre fyzické osoby, sa v pozícii Rady v prvom čítaní ustanovuje, že nariadenie sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti, teda bez spojenia s profesijnou alebo komerčnou činnosťou. 5419/16 ADD 1 REV 1 ar/esh/mn 6

7 1.4. Územná pôsobnosť Pokiaľ ide o územnú pôsobnosť, v pozícii Rady v prvom čítaní sa pre prevádzkovateľov a sprostredkovateľov vytvárajú rovnaké podmienky zahrnutím všetkých prevádzkovateľov a sprostredkovateľov do rozsahu pôsobnosti bez ohľadu na to, či sú usadení v Únii alebo nie. Po prvé, v tomto nariadení sa ustanovuje, že pravidlá ochrany údajov sa vzťahujú na spracúvanie osobných údajov v rámci činností prevádzkarne prevádzkovateľa alebo sprostredkovateľa v Únii bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie. Po druhé, aby sa zabezpečilo, že fyzické osoby nebudú zbavené ochrany svojich údajov, toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb nachádzajúcich sa v Únii, aj keď prevádzkovateľ alebo sprostredkovateľ nie je usadený v Únii, ale jeho činnosti spracúvania súvisia s ponukou tovaru alebo služieb dotknutým osobám v Únii, ako aj so sledovaním ich správania, pokiaľ k nemu dochádza na území Európskej únie. Uvedeným vymedzením rozsahu pôsobnosti sa okrem toho zvyšuje právna istota pre prevádzkovateľov a dotknuté osoby (fyzické osoby, ktorých osobné údaje sa spracúvajú). V pozícii Rady v prvom čítaní sa taktiež ustanovuje, že dotknuté osoby a dozorné orgány majú v prípade prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Únii, ale patria do rozsahu pôsobnosti nariadenia, kontaktné miesto v EÚ: musia písomne určiť svojho zástupcu v Únii. S cieľom vyhnúť sa zbytočnému administratívnemu zaťaženiu sa táto povinnosť nevzťahuje na spracúvanie, pri ktorom je nepravdepodobné, že by viedlo k riziku pre práva a slobody fyzických osôb, ani na spracúvanie, ktoré vykonáva orgán verejnej moci alebo verejnoprávny subjekt tretej krajiny. 5419/16 ADD 1 REV 1 ar/esh/mn 7

8 2. Zásady spracúvania osobných údajov Zásady ochrany údajov sa uplatňujú na všetky informácie týkajúce sa identifikovateľných alebo identifikovaných fyzických osôb vrátane informácií, ktoré už nemožno priradiť k žiadnej konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sú takéto dodatočné informácie uchovávané samostatne a podliehajú technickým a organizačným opatreniam s cieľom zabezpečiť ich nepriradenie identifikovanej alebo identifikovateľnej fyzickej osobe ( pseudonymizácia ). V porovnaní so smernicou 95/46 sa v nariadení do veľkej miery zabezpečuje kontinuita, pokiaľ ide o zásady spracúvania osobných údajov. Zároveň sa upravila zásada minimalizácie údajov s cieľom zohľadniť digitálnu realitu a vytvoriť rovnováhu medzi ochranou osobných údajov na jednej strane a možnosťami prevádzkovateľov spracúvať údaje na strane druhej. 3. Zákonnosť spracúvania 3.1. Podmienky zákonnosti Rada vo svojej pozícii v prvom čítaní s cieľom zabezpečiť právnu istotu vychádza zo smernice 95/46 a uvádza, že spracúvanie osobných údajov je zákonné iba vtedy, keď je splnená aspoň jedna z týchto podmienok: súhlas dotknutej osoby s jedným alebo viacerými konkrétnymi účelmi, zmluva, zákonná povinnosť, ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, úloha realizovaná vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana. Dve z uvedených podmienok si zaslúžia ďalšiu pozornosť: súhlas a oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana. 5419/16 ADD 1 REV 1 ar/esh/mn 8

9 Súhlas Dotknutá osoba môže s cieľom umožniť spracúvanie svojich osobných údajov vyjadriť súhlas so spracúvaním formou jednoznačného potvrdzujúceho úkonu, ktorý predstavuje slobodný, konkrétny, informovaný a jednoznačný prejav jej súhlasu so spracúvaním jej osobných údajov. Takýto súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo účely. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely spracúvania. Prevádzkovateľ okrem toho musí byť schopný preukázať, že dotknutá osoba vyjadrila súhlas so spracovateľskou operáciou. Nereagovanie, vopred označené rámčeky alebo nečinnosť by sa preto nemali pokladať za súhlas. Vymedzením pojmu súhlas sa zabezpečuje kontinuita s acquis, ktorá sa vyvinula pri používaní tohto pojmu na základe smernice 95/46/ES, pričom prispieva k jednotnému výkladu a uplatňovaniu tohto pojmu v celej Európskej únii. V záujme ochrany práv dotknutej osoby na ochranu údajov sa okrem toho ďalej uvádza, že ak dotknutá osoba vyjadrí súhlas formou písomného vyhlásenia, ktoré sa týka aj iných vecí, žiadna časť tohto vyhlásenia, ktoré predstavuje porušenie nariadenia, nie je záväzná. Navyše, pri posudzovaní toho, či bol súhlas udelený slobodne, je potrebné v plnej miere zohľadniť, či je okrem iného plnenie zmluvy podmienené súhlasom so spracúvaním, ktoré nie je na plnenie zmluvy potrebné. A napokon, Rada vo svojej pozícii v prvom čítaní s cieľom umožniť odchýlky zo všeobecného zákazu spracúvania osobitných kategórií osobných údajov stanovuje prísnejšie kritériá ako v prípade iného spracúvania, pretože dotknutá osoba musí so spracúvaním takýchto citlivých osobných údajov vyjadriť výslovný súhlas. 5419/16 ADD 1 REV 1 ar/esh/mn 9

10 Čo sa týka detí, v pozícii Rady v prvom čítaní sa ustanovuje osobitný ochranný režim pre súhlas detí v súvislosti s ponukou služieb informačnej spoločnosti. Spracúvanie osobných údajov dieťaťa mladšieho než maximálne 16 rokov je zákonné, ak sa dá so zreteľom na dostupnú technológiu primerane overiť, že takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností k dieťaťu. Členské štáty, ktoré považujú nižší vek za vhodnejší, môžu stanoviť nižší maximálny vek pod podmienkou, že nie je nižší ako 13 rokov Oprávnený záujem prevádzkovateľa Spracúvanie osobných údajov môže byť zákonné, ak je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana. Takéto oprávnené záujmy nie sú dostatočným dôvodom na zákonné spracúvanie, ak nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa. Existencia oprávneného záujmu si vyžaduje posúdenie, a to vrátane posúdenia toho, či dotknutá osoba môže v čase a kontexte zhromažďovania osobných údajov odôvodnene očakávať, že spracúvanie na tento účel sa môže uskutočniť. Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem. Vzhľadom na to, že stanoviť v právnych predpisoch právny základ pre spracúvanie osobných údajov orgánmi verejnej moci je úlohou zákonodarcu, toto sa nevzťahuje na spracúvanie údajov orgánmi verejnej moci pri plnení ich úloh. 5419/16 ADD 1 REV 1 ar/esh/mn 10

11 3.2. Špecifické pravidlá členských štátov na prispôsobenie uplatňovania nariadenia V pozícii Rady v prvom čítaní sa členským štátom umožňuje zachovať alebo zaviesť špecifickejšie ustanovenia na prispôsobenie uplatňovania pravidiel tohto nariadenia, ak je spracúvanie osobných údajov potrebné na splnenie zákonnej povinnosti alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Vo vzťahu k osobitným spracovateľským operáciám sa prepokladajú výnimky, osobitné požiadavky a iné opatrenia, pomocou ktorých členské štáty zosúladia právo na ochranu osobných údajov s právom na slobodu prejavu a právom na informácie, prístupom verejnosti k úradným dokumentom, spracúvaním národných identifikačných čísiel, spracúvaním v súvislosti so zamestnaním a spracúvaním na účely archivácie vo verejnom záujme alebo na účely vedeckého a historického výskumu alebo na štatistické účely Ďalšie spracúvanie V pozícii Rady v prvom čítaní sa ustanovuje, že spracúvanie na iný účel, ako je účel, na ktorý boli osobné údaje pôvodne zhromaždené, je zákonné iba vtedy, ak je ďalšie spracúvanie zlučiteľné s účelmi, na ktoré boli osobné údaje pôvodne spracúvané. Ak dotknutá osoba vyjadrila súhlas alebo ak sa spracúvanie zakladá na právnom predpise Únie alebo členského štátu, ktorý predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov. Práva dotknutej osoby boli posilnené v prípade ďalšieho spracúvania, najmä pokiaľ ide o právo na informácie a právo namietať proti ďalšiemu spracúvaniu, ak toto spracúvanie nie je nevyhnutné na plnenie úlohy realizovanej vo verejnom záujme. 5419/16 ADD 1 REV 1 ar/esh/mn 11

12 S cieľom zistiť, či je účel ďalšieho spracúvania zlučiteľný s účelom, na ktorý boli osobné údaje pôvodne zhromaždené, musí prevádzkovateľ zohľadniť okrem iného akékoľvek prepojenie medzi pôvodnými účelmi a účelmi ďalšieho zamýšľaného spracúvania, kontext, v ktorom boli osobné údaje zhromaždené, najmä odôvodnené očakávania dotknutých osôb vyplývajúce z ich vzťahu k prevádzkovateľovi, pokiaľ ide o ich ďalšie použitie, povahu osobných údajov, následky ďalšieho zamýšľaného spracúvania pre dotknuté osoby a existenciu primeraných záruk pri pôvodných aj zamýšľaných operáciách ďalšieho spracúvania Spracúvanie osobitných kategórií osobných údajov Osobné údaje, ktoré majú obzvlášť citlivú povahu, si zasluhujú osobitnú ochranu, pretože z kontextu ich spracúvania môžu vyplývať značné riziká pre základné práva a slobody fyzických osôb. Z tohto dôvodu sa v pozícii Rady v prvom čítaní zachováva prístup smernice 95/46, v ktorej sa zakazuje spracúvanie osobitných kategórií osobných údajov. Odchylne od tohto pravidla, v určitých taxatívne vymenovaných situáciách sa spracúvanie citlivých údajov povoľuje, napríklad ak dotknutá osoba dala výslovný súhlas, ak je spracúvanie potrebné z dôvodov závažného verejného záujmu alebo ak je spracúvanie potrebné na iné účely, okrem iného v oblasti zdravia. A nakoniec, v pozícii Rady v prvom čítaní sa ustanovuje, že členské štáty môžu zaviesť ďalšie podmienky, vrátane obmedzení, pokiaľ ide o spracúvanie genetických údajov, biometrických údajov alebo údajov týkajúcich sa zdravia. Tieto podmienky však nesmú obmedzovať voľný tok údajov v rámci Únie. 5419/16 ADD 1 REV 1 ar/esh/mn 12

13 4. Posilnenie práv dotknutých osôb 4.1. Úvod Pozíciou Rady v prvom čítaní sa posilňujú práva dotknutých osôb, a to posilnením práv na ochranu údajov a uložením povinností prevádzkovateľom. Práva dotknutých osôb zahŕňajú právo na informácie, prístup k osobným údajom, opravu, vymazanie osobných údajov vrátane práva na zabudnutie, obmedzenie spracúvania a prenositeľnosť údajov, ako aj právo namietať a nebyť predmetom rozhodnutia len na základe automatizovaného spracúvania vrátane profilovania. Práva, ktoré boli v porovnaní so smernicou 95/46 predmetom dôležitých zmien, sa rozoberajú ďalej. Prevádzkovatelia majú povinnosť uľahčiť výkon práv dotknutých osôb a spracúvať osobné údaje v súlade so zásadou transparentnosti, najmä poskytovaním informácií o vykonávanom spracúvaní osobných údajov. Ak osobné údaje spracúvané prevádzkovateľom nedovoľujú prevádzkovateľovi identifikovať dotknutú osobu, prevádzkovateľ údajov nie je povinný získať dodatočné informácie na účely identifikácie dotknutej osoby výlučne z dôvodu, aby sa dosiahol súlad s niektorým ustanovením tohto nariadenia. Napriek týmto právam dotknutých osôb a povinnostiam prevádzkovateľov sa v pozícii Rady v prvom čítaní zachováva prístup smernice 95/46, a to v zmysle, že sa ňou povoľujú obmedzenia všeobecných zásad a práv fyzickej osoby, ak sa takéto obmedzenia zakladajú na práve Únie alebo členského štátu. Pri týchto obmedzeniach sa musí rešpektovať podstata základných práv a slobôd a musia byť nevyhnutné a primerané na ochranu určitých verejných záujmov v demokratickej spoločnosti. 5419/16 ADD 1 REV 1 ar/esh/mn 13

14 4,2. Transparentnosť Prevádzkovatelia musia v súlade so zásadou transparentnosti poskytovať informácie a komunikovať o spracúvaní osobných údajov stručnou, transparentnou, zrozumiteľnou a ľahko prístupnou formou, pričom použijú jasný a jednoduchý jazyk, najmä v prípade akýchkoľvek informácií adresovaných dieťaťu. Informácie sa musia poskytovať písomne alebo iným spôsobom, prípadne elektronickými prostriedkami. V pozícii Rady v prvom čítaní sa ďalej stanovujú lehoty pre žiadosti o informácie, oznamovanie alebo akékoľvek iné opatrenia zo strany prevádzkovateľa, ktoré sa vo všeobecnosti musia vykonávať bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže požadovať primeraný poplatok, pri ktorom zohľadní administratívne náklady na poskytnutie informácií alebo oznámenia alebo na uskutočnenie požadovaného opatrenia, alebo môže odmietnuť konať na základe žiadosti. V takýchto prípadoch znáša prevádzkovateľ bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti Poskytovanie informácií a komunikácia zo strany prevádzkovateľa S cieľom dosiahnuť rovnováhu medzi, na jednej strane, poskytovaním dostatočných informácií dotknutým osobám o spracúvaní ich osobných údajov a, na strane druhej, tým, aby sa prevádzkovateľom neuložili zaťažujúce povinnosti, sa v pozícii Rady v prvom čítaní ustanovuje dvojfázový prístup, prostredníctvom ktorého sa má zabezpečiť, aby boli dotknuté osoby primerane informované, a to tak v prípadoch, keď sa osobné údaje získavajú od dotknutej osoby, ako aj v prípadoch, keď sa osobné údaje nezískavajú od dotknutej osoby. V prvej fáze je prevádzkovateľ povinný poskytnúť dotknutej osobe v čase, keď sa osobné údaje získavajú, informácie uvedené v nariadení. V druhej fáze je prevádzkovateľ povinný poskytnúť dodatočné informácie, ktoré sa uvádzajú v nariadení a ktoré sú potrebné na zabezpečenie spravodlivého a efektívneho spracúvania. Prevádzkovatelia informujú dotknuté osoby aj vtedy, keď majú v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý sa osobné údaje pôvodne zozbierali. 5419/16 ADD 1 REV 1 ar/esh/mn 14

15 Prevádzkovateľ nie je povinný poskytnúť informácie uvedené buď v rámci prvej, alebo druhej fázy, keď dotknutá osoba už danými informáciami disponuje. Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ jej neposkytne žiadne informácie, ak je zaznamenanie alebo sprístupnenie osobných údajov tretím stranám výslovne stanovené v právnych predpisoch, alebo ak poskytnutie informácií dotknutej osobe nie je možné alebo by si vyžadovalo vynaloženie neprimeraného úsilia. A nakoniec, ak je to možné alebo ak si to nevyžaduje neprimerané úsilie, prevádzkovatelia sú povinní oznámiť akúkoľvek opravu alebo akékoľvek vymazanie či obmedzenie spracúvania každému príjemcovi, ktorému boli osobné údaje sprístupnené. Prevádzkovateľ musí okrem toho o týchto príjemcoch informovať dotknutú osobu, ak o to dotknutá osoba žiada Ikony Zásady transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracúvania a o jeho účeloch. Vzhľadom na uvedené skutočnosti sa v pozícii Rady v prvom čítaní ustanovuje, že informácie poskytnuté dotknutej osobe môžu byť sprevádzané štandardizovanými ikonami. Prevádzkovatelia môžu dobrovoľne rozhodnúť, či by používanie týchto štandardizovaných ikon mohlo byť užitočné pri vykonávanom spracúvaní osobných údajov. Ikony by mali poskytovať dobre viditeľný, zrozumiteľný, jasne čitateľný a zmysluplný prehľad o zamýšľanom spracúvaní. Ikony sa musia prezentovať v rovnakom čase, ako sa poskytujú informácie. Ak sú ikony použité v elektronickej podobe, mali by byť strojovo čitateľné. V nariadení sa Komisia s cieľom prispieť k štandardizovanému používaniu ikon v EÚ oprávňuje prijímať delegované akty stanovujúce informácie, ktoré sa majú prezentovať vo forme ikon, a postupy určovania štandardizovaných ikon. Európsky výbor pre ochranu údajov musí poskytnúť stanovisko k ikonám navrhnutým Komisiou. Možnosť prijímania delegovaných aktov však nebráni tomu, aby Európsky výbor pre ochranu údajov vydal usmernenia, stanoviská a najlepšie postupy týkajúce sa ikon. 5419/16 ADD 1 REV 1 ar/esh/mn 15

16 4.5. Právo na prístup Dotknutá osoba má právo na potvrdenie prevádzkovateľa o tom, či sa osobné údaje, ktoré sa jej týkajú, spracúvajú, a ak sa takéto osobné údaje spracúvajú, má právo na prístup k informáciám uvedeným v nariadení. V tejto súvislosti sa v nariadení uvádza, že prevádzkovateľ musí bezplatne poskytnúť kópiu spracúvaných osobných údajov. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Právo získať kópiu nesmie negatívne ovplyvniť práva a slobody iných Právo na vymazanie (právo na zabudnutie ) Podľa pozície Rady v prvom čítaní majú dotknuté osoby právo na vymazanie osobných údajov, ktoré sa ich týkajú, ak spracúvanie takýchto údajov nie je v súlade s týmto nariadením alebo s právnymi predpismi Únie alebo členského štátu, ktoré sa vzťahujú na prevádzkovateľa. Odkazom na právo na zabudnutie sa uznáva potreba upraviť právo na vymazanie najmä v digitálnom kontexte. Prevádzkovatelia, ktorí zverejnili osobné údaje, o ktorých zabudnutie žiada dotknutá osoba, musia prijať všetky primerané kroky, vrátane technických opatrení, na to, aby informovali prevádzkovateľov, ktorí osobné údaje spracúvajú, o žiadosti dotknutej osoby o vymazanie odkazov na takéto údaje alebo kópie či replikácie takýchto údajov, pričom zohľadnia dostupné technológie a náklady na vykonávanie. Európsky výbor pre ochranu údajov môže vydať usmernenia, odporúčania a najlepšie postupy pre vymazanie odkazov na osobné údaje alebo kópií či replikácií osobných údajov z verejne dostupných komunikačných služieb. Právo na vymazanie a povinnosť prevádzkovateľa informovať ostatných prevádzkovateľov o žiadosti o vymazanie sa nevzťahujú na prípady, keď je spracúvanie osobných údajov nevyhnutné na účely taxatívne vymedzené v nariadení, ako je napr. právo na slobodu prejavu a právo na informácie. 5419/16 ADD 1 REV 1 ar/esh/mn 16

17 4.7. Právo na prenosnosť údajov V pozícii Rady v prvom čítaní sa ustanovuje, že ak sa spracúvanie osobných údajov vykonáva automatizovanými prostriedkami, dotknuté osoby majú právo získať osobné údaje, ktoré sa ich týkajú a ktoré poskytli prevádzkovateľovi, v štruktúrovanom, bežne používanom, strojovo čitateľnom a interoperabilnom formáte, a preniesť ich inému prevádzkovateľovi. Okrem toho sa v nej ďalej uvádza, že ak je to technicky uskutočniteľné, dotknuté osoby majú právo na prenos týchto údajov priamo od jedného prevádzkovateľa k druhému. Posilňuje sa tak kontrola dotknutých osôb nad vlastnými údajmi. Zároveň sa takýmto spôsobom podporuje hospodárska súťaž medzi prevádzkovateľmi. Právo na prenosnosť údajov sa však nevzťahuje na spracúvanie, ktoré je nevyhnutné pri plnení úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Okrem toho, ak sa určitý súbor osobných údajov týka viac ako jednej dotknutej osoby, právom dotknutej osoby získať osobné údaje nie sú dotknuté práva a slobody iných Právo namietať V prípadoch, keď osobné údaje možno spracúvať zákonne, pretože spracúvanie je nevyhnutné pri plnení úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo na základe oprávnených záujmov prevádzkovateľa alebo tretej strany, dotknutá osoba má právo namietať proti spracúvaniu akýchkoľvek osobných údajov, ktoré sa týkajú jej konkrétnej situácie. Prevádzkovateľ v takom prípade už nesmie pokračovať v spracúvaní osobných údajov, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie prevažujúce nad záujmami, právami a slobodami dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. 5419/16 ADD 1 REV 1 ar/esh/mn 17

18 Vzhľadom na uvedené skutočnosti sa ďalej uvádza, že ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týkajú. Týka sa to aj profilovania, a to v rozsahu, v akom súvisí s takýmto priamym marketingom. Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto údajov na účely hodnotenia určitých osobných aspektov fyzickej osoby, predovšetkým na účely analýzy alebo predvídania aspektov súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom fyzickej osoby. Ak dotknutá osoba namieta proti spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať. Dotknutá osoba musí byť okrem toho na toto právo výslovne a jasne upozornená, a to najneskôr v priebehu prvej komunikácie s prevádzkovateľom. Pozícia Rady v prvom čítaní zahŕňa okrem toho odkaz na online nastavenie nesledovať s tým, že dotknutá osoba môže v súvislosti s používaním služieb informačnej spoločnosti uplatniť svoje právo namietať pomocou automatizovaných prostriedkov využitím technických špecifikácií Automatizované individuálne rozhodovanie vrátane profilovania Dotknutá osoba má právo nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracúvaní, pri ktorom sa hodnotia jej osobné aspekty a ktoré má pre ňu právne účinky alebo ju podobným spôsobom významne ovplyvňuje. Príkladom je automatické odmietnutie online žiadosti o úver alebo elektronické postupy prijímania pracovníkov bez akéhokoľvek zásahu ľudského činiteľa. Takéto automatizované spracúvanie môže zahŕňať profilovanie. Právo nebyť predmetom automatizovaného spracúvania sa však neuplatňuje, keď: je nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom; je povolené podľa práva Únie alebo členského štátu, ktorému podlieha prevádzkovateľ a v ktorom sa tiež stanovujú vhodné opatrenia na zaistenie práv, slobôd a oprávnených záujmov dotknutej osoby, napríklad na účely monitorovania podvodov a daňových únikov; alebo 5419/16 ADD 1 REV 1 ar/esh/mn 18

19 sa zakladá na výslovnom súhlase dotknutej osoby. Okrem druhého prípadu, ktorý sa týka spracúvania povoleného podľa práva Únie alebo členského štátu, prevádzkovateľ, ktorý vykonáva spracúvanie automatizovanými prostriedkami, musí zaviesť primerané záruky na zaistenie práv, slobôd a legitímnych záujmov dotknutých osôb. Tieto záruky musia zahŕňať prinajmenšom právo na zásah ľudského činiteľa zo strany prevádzkovateľa a možnosť dotknutej osoby vyjadriť svoj názor a napadnúť rozhodnutie. Prevádzkovatelia by s cieľom zabezpečiť spravodlivé a transparentné spracúvanie mali okrem toho pri profilovaní využívať primerané matematické a štatistické postupy a opatrenia, pomocou ktorých sa znížia potenciálne riziká ohrozujúce záujmy dotknutých osôb. Práva dotknutej osoby sú posilnené aj tým, že prevádzkovateľ je povinný poskytnúť dotknutej osobe, ak je to potrebné v záujme zabezpečenia spravodlivého a transparentného spracúvania, informácie o existencii automatizovaného rozhodovania, vrátane profilovania, a aspoň v týchto prípadoch zmysluplné informácie o uplatnenej logike, ako aj o závažnosti a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu. Napokon, automatizované rozhodovanie a profilovanie založené na osobitných kategóriách osobných údajov je povolené iba za určitých podmienok vrátane práva dotknutej osoby namietať proti takému spracúvaniu, ak sa tieto osobné údaje ďalej spracúvajú na účely vedeckého alebo historického výskumu alebo na štatistické účely, pokiaľ toto spracúvanie nie je nevyhnutné na plnenie úlohy vykonávanej vo verejnom záujme. Európsky výbor pre ochranu údajov môže vydávať usmernenia, odporúčania a najlepšie postupy s cieľom podrobnejšie vymedziť kritériá a podmienky platné pre rozhodnutia založené na profilovaní. 5419/16 ADD 1 REV 1 ar/esh/mn 19

20 5. Prevádzkovateľ a sprostredkovateľ 5.1. Úvod V pozícii Rady v prvom čítaní sa stanovuje právny rámec týkajúci sa zodpovednosti za akékoľvek spracúvanie osobných údajov, ktoré vykonáva prevádzkovateľ alebo sprostredkovateľ v mene prevádzkovateľa. V súlade so zásadou zodpovednosti je prevádzkovateľ povinný vykonať vhodné technické a organizačné opatrenia a musí byť schopný preukázať súlad spracovateľských operácií s nariadením. V nariadení sa preto stanovujú pravidlá týkajúce sa zodpovednosti prevádzkovateľa týkajúcej sa posúdenia vplyvu, vedenia záznamov o spracúvaní, porušenia ochrany údajov, určenia zodpovednej osoby, kódexov správania a certifikačných mechanizmov Posúdenie vplyvu Prevádzkovateľ je zodpovedný za vykonanie posúdenia vplyvu na ochranu údajov s cieľom zhodnotiť, či je pravdepodobné, že by spracúvanie viedlo k vysokému riziku pre práva a slobody fyzických osôb. V pozícii Rady v prvom čítaní sa stanovujú prípady, v ktorých je posúdenie vplyvu na ochranu údajov obzvlášť potrebné, ako napríklad pri určitých spracovateľských operáciách, ktoré sa vykonávajú vo veľkom rozsahu. Ak sa na základe takéhoto posúdenia vplyvu ukáže, že spracovateľské operácie predstavujú vysoké riziko, ktoré prevádzkovateľ nedokáže zmierniť pomocou primeraných opatrení z hľadiska najnovšej technológie a nákladov na vykonanie opatrení, musí sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom. Dozorný orgán potom môže prevádzkovateľovi poskytovať poradenstvo a využiť akékoľvek svoje právomoci. Európsky výbor pre ochranu údajov môže vydať usmernenia pre spracovateľské operácie, pri ktorých je pravdepodobné, že by viedli k vysokému riziku pre práva a slobody fyzických osôb, a uviesť, aké opatrenia môžu byť v uvedených prípadoch postačujúce na vyriešenie potenciálneho rizika. 5419/16 ADD 1 REV 1 ar/esh/mn 20

21 5.3. Záznamy o spracovateľských činnostiach S cieľom umožniť dozornému orgánu kontroly ex post musí viesť prevádzkovateľ alebo prípadný zástupca prevádzkovateľa alebo sprostredkovateľ záznamy o spracovateľských operáciách, ktoré patria do rozsahu jeho zodpovednosti, vrátane záznamov o porušení ochrany údajov. S cieľom znížiť administratívne zaťaženie sa povinnosť viesť záznamy nevzťahuje na podniky alebo organizácie zamestnávajúce menej ako 250 osôb, ak je nepravdepodobné, že by spracúvanie, ktoré vykonávajú, viedlo k riziku pre práva a slobody dotknutých osôb, ak je spracúvanie občasné alebo ak nezahŕňa citlivé údaje alebo údaje týkajúce sa uznania viny za trestné činy a priestupky Porušenie ochrany údajov Porušenie ochrany osobných údajov môže spôsobiť fyzickým osobám ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad ich osobnými údajmi alebo obmedzenie ich práv, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená depseudonymizácia, poškodenie dobrého mena, strata dôvernosti údajov chránených služobným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. V pozícii Rady v prvom čítaní sa ustanovuje, že prevádzkovatelia musia oznámiť porušenie ochrany osobných údajov dozorným orgánom, ak je pravdepodobné, že toto porušenie by mohlo viesť k riziku pre práva a slobody fyzických osôb. Musia tiež dotknutým osobám oznámiť tie prípady porušenia ochrany osobných údajov, ktoré budú pravdepodobne predstavovať vysoké riziko. Oznámenia adresované dozorným orgánom im umožnia v prípade potreby zasiahnuť. Navyše, oznámenia adresované príslušnej dotknutej osobe jej umožnia prijať preventívne opatrenia. S cieľom znížiť administratívne zaťaženie sa v pozícii Rady v prvom čítaní uplatňujú rôzne kritériá na oznámenia adresované dozornému orgánu a na oznámenia adresované príslušným dotknutým osobám s tým, že kritériá na oznámenia adresované príslušným dotknutým osobám sú prísnejšie ako na oznámenia adresované dozornému orgánu. Prevádzkovatelia sú povinní oznámiť porušenie ochrany osobných údajov príslušnému dozornému orgánu, hneď ako sa dozvedia, že k nemu došlo, a to bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, ako sa o tejto skutočnosti dozvedeli. Prevádzkovatelia však môžu upustiť od oznámenia, ak sú schopní preukázať, že je nepravdepodobné, že by toto porušenie ochrany osobných údajov viedlo k riziku pre práva a slobody fyzických osôb. Okrem niektorých výnimiek sú prevádzkovatelia povinní oznámiť porušenie ochrany údajov príslušným dotknutým osobám bez zbytočného odkladu, ak je pravdepodobné, že by toto porušenie ochrany osobných údajov viedlo k vysokému riziku pre práva a slobody dotknutých osôb. 5419/16 ADD 1 REV 1 ar/esh/mn 21

22 Európsky výbor pre ochranu údajov môže vydať usmernenia, odporúčania a najlepšie postupy s cieľom vymedziť prípady porušenia ochrany údajov a stanoviť zbytočný odklad po tom, ako sa prevádzkovateľ dozvie o porušení, ako aj osobitné okolnosti, za ktorých sa od prevádzkovateľa vyžaduje, aby oznámil porušenie ochrany osobných údajov, ako aj okolnosti, za ktorých je pravdepodobné, že porušenie ochrany osobných údajov by mohlo viesť k vysokému riziku pre práva a slobody fyzických osôb. 5,5. Zodpovedná osoba Určením zodpovednej osoby sa má zlepšiť dodržiavanie tohto nariadenia. Zodpovedná osoba preto musí byť osobou s odbornými znalosťami práva a postupov v oblasti ochrany údajov a musí pomáhať prevádzkovateľovi alebo sprostredkovateľovi pri monitorovaní vnútorného dodržiavania tohto nariadenia. Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb. Jedna zodpovedná osoba sa tiež môže určiť pre skupinu podnikov alebo v prípade, že prevádzkovateľom alebo sprostredkovateľom je orgán verejnej moci. V pozícii Rady v prvom čítaní sa ustanovuje, že určenie zodpovednej osoby je povinné, ak: spracúvanie vykonáva orgán verejnej moci s výnimkou súdov alebo nezávislých justičných orgánov pri výkone ich súdnej právomoci, alebo hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie citlivých údajov alebo údajov týkajúcich sa uznania viny za trestné činy a priestupky vo veľkom rozsahu. 5419/16 ADD 1 REV 1 ar/esh/mn 22

23 5.6. Kódexy správania a certifikačné mechanizmy Pozíciou Rady v prvom čítaní sa stimuluje uplatňovanie kódexov správania a presadzuje rozsiahlejšie využívanie certifikačných mechanizmov, pečatí a značiek ochrany údajov. Tieto iniciatívy prispievajú k súladu s pravidlami ochrany údajov, pričom sa nimi zabráni zavedeniu príliš normatívnych pravidiel a znížia náklady orgánov verejnej moci zodpovedných za presadzovanie. V kódexoch správania sa okrem toho môžu zohľadniť špecifické črty spracúvania, ktoré sa vykonáva v určitých sektoroch, ako aj potreby mikropodnikov a malých a stredných podnikov. Certifikačné mechanizmy, pečate a značky ochrany údajov prispievajú na druhej strane k dodržiavaniu nariadenia, pretože umožňujú dotknutým osobám ľahko posúdiť úroveň ochrany údajov v prípade relevantných produktov a služieb. Pozícia Rady v prvom čítaní zahŕňa komplexný súbor pravidiel týkajúcich sa kódexov správania, certifikačných mechanizmov, pečatí a značiek ochrany údajov, ktoré vytvárajú priestor pre súkromnú iniciatívu a zapojením dozorných orgánov chránia normy ochrany údajov Kódexy správania Dozorný orgán môže schváliť kódexy správania, ich zmeny alebo rozšírenie. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, príslušný dozorný orgán musí návrh kódexu, jeho zmeny alebo rozšírenia pred jeho schválením predložiť Európskemu výboru pre ochranu údajov, ktorý vydá svoje stanovisko. Komisia môže prijať vykonávacie akty, ktorými rozhodne, že nové kódexy správania a zmeny alebo rozšírenia existujúcich kódexov správania, ktoré schválil príslušný dozorný orgán, majú v rámci Únie všeobecnú platnosť. Európsky výbor pre ochranu údajov by mal vypracúvanie kódexov správania podporovať. Všetky schválené kódexy správania a ich zmeny musí zhromažďovať v registri a musí ich akýmkoľvek primeraným spôsobom zverejniť. 5419/16 ADD 1 REV 1 ar/esh/mn 23

24 Certifikačné mechanizmy, pečate a značky ochrany údajov V pozícii Rady v prvom čítaní sa ustanovuje, že každý členský štát musí stanoviť, či certifikačné subjekty akredituje dozorný orgán alebo národný akreditačný orgán. Akreditované certifikačné subjekty môžu certifikovať prevádzkovateľov a sprostredkovateľov na základe kritérií schválených príslušným dozorným orgánom alebo, v súlade s mechanizmom konzistentnosti, Európskym výborom pre ochranu údajov. V druhom prípade môžu viesť kritériá, ktoré schválil Európsky výbor pre ochranu údajov, k spoločnej certifikácii: európskej pečati ochrany údajov. Certifikácia sa prevádzkovateľovi alebo sprostredkovateľovi vydáva maximálne na 3 roky s možnosťou predĺženia. Certifikačný subjekt musí informovať príslušný dozorný orgán o dôvodoch udelenia alebo odňatia požadovanej certifikácie. Dozorný orgán môže následne zamietnuť alebo vyhlásiť takúto certifikáciu za neplatnú. Komisia je oprávnená prijímať delegované akty na účely stanovenia požiadaviek, ktoré sa majú zohľadniť pri certifikačných mechanizmoch ochrany údajov. Európsky výbor pre ochranu údajov musí vydať k týmto požiadavkám stanovisko. Komisia môže tiež prijať vykonávacie akty týkajúce sa technických noriem pre certifikačné mechanizmy, pečate a značky ochrany údajov, ako aj mechanizmy na podporu a uznávanie certifikačných mechanizmov, pečatí a značiek ochrany údajov. A nakoniec, Európsky výbor pre ochranu údajov by mal podporovať vytváranie certifikačných mechanizmov, pečatí a značiek ochrany údajov. 6. Prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám 6.1. Úvod Cezhraničné toky osobných údajov do krajín mimo Únie a medzinárodných organizácií, ako aj toky opačným smerom majú zásadný význam pre medzinárodný obchod a cezhraničné digitálne hospodárstvo. Úroveň ochrany v prípade prenosu osobných údajov občanov EÚ mimo Únie, ktorú zaisťuje Únia, nesmie byť ohrozená. 5419/16 ADD 1 REV 1 ar/esh/mn 24

25 Vo všeobecnosti platí, že akýkoľvek prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len za predpokladu, že prevádzkovatelia a sprostredkovatelia dodržia pravidlá nariadenia. V pozícii Rady v prvom čítaní sa v plnej miere zohľadňuje judikatúra Súdneho dvora Európskej únie, vrátane rozsudku zo 6. októbra 2015 vo veci C-362/14. V pozícii Rady sa zachovávajú rôzne spôsoby umožňujúce cezhraničný prenos osobných údajov a posilňujú záruky, pokiaľ ide o dodržiavanie práv na ochranu údajov. Týmito rôznymi spôsobmi prenosu osobných údajov sú rozhodnutia o primeranosti, primerané záruky a odchýlky. V pozícii Rady v prvom čítaní sa objasňuje, že akýkoľvek rozsudok súdu alebo tribunálu či akékoľvek rozhodnutie správneho orgánu tretej krajiny požadujúce od prevádzkovateľa alebo sprostredkovateľa prenos alebo sprístupnenie osobných údajov možno uznať alebo vykonať akýmkoľvek spôsobom, pokiaľ sa zakladá na medzinárodnej dohode platnej medzi žiadajúcou treťou krajinou a Úniou alebo členským štátom. V tomto ustanovení sa výslovne uvádza, že takýmito medzinárodnými dohodami nie sú dotknuté iné dôvody cezhraničných prenosov, ktoré sú stanovené v nariadení Rozhodnutia o primeranosti Medzinárodné prenosy sa môžu uskutočniť na základe rozhodnutia Komisie o primeranosti, z ktorého vyplýva, že tretia krajina alebo územie, alebo jeden či viac určených sektorov v danej tretej krajine, alebo príslušná medzinárodná organizácia zaručujú úroveň ochrany, ktorá je v podstate rovnocenná s úrovňou, ktorá sa zaisťuje v Únii. V celej Únii sa tak zabezpečí právna istota a jednotnosť. 5419/16 ADD 1 REV 1 ar/esh/mn 25

26 Komisia môže rozhodnúť potom, čo to tretej krajine alebo medzinárodnej organizácii oznámi a v plnom rozsahu odôvodní, že rozhodnutie o primeranosti odvolá. Komisia prijíma rozhodnutia o primeranosti a rozhodnutia o odvolaní takýchto rozhodnutí ako vykonávacie akty. Vykonávacími aktmi sa musí stanoviť mechanizmus pravidelného preskúmania, a to najmenej každé štyri roky. Komisia musí sledovať vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť fungovanie rozhodnutí o primeranosti. Pri monitorovaní a vykonávaní pravidelných preskúmaní by Komisia mala zohľadniť stanoviská a zistenia Európskeho parlamentu a Rady, ako aj ďalších príslušných orgánov a zdrojov. V kontexte hodnotenia a preskúmania nariadenia musí Komisia podávať Rade a Európskemu parlamentu pravidelné správy. Napokon, Európsky výbor pre ochranu údajov musí Komisii poskytnúť stanovisko, v ktorom posúdi primeranosť úrovne ochrany v tretej krajine alebo medzinárodnej organizácii, ako aj skutočnosť, či je naďalej zaistená primeraná úroveň ochrany. Rozhodnutia prijaté Komisiou na základe článku 25 ods. 6 smernice 95/46/ES zostávajú v platnosti, kým sa nezmenia, nenahradia alebo nezrušia rozhodnutím Komisie. Rovnako zostávajú v platnosti povolenia členského štátu alebo dozorného orgánu na základe článku 26 ods. 2 smernice 95/46/ES a rozhodnutia prijaté Komisiou na základe článku 26 ods. 4 smernice 95/46/ES, kým ich, ak je to potrebné, nezmení, nenahradí alebo nezruší daný dozorný orgán alebo kým sa tak nestane na základe rozhodnutia Komisie. V pozícii Rady v prvom čítaní sa zaistením kontinuity zabezpečuje právna istota. 5419/16 ADD 1 REV 1 ar/esh/mn 26

27 6.3. Primerané záruky Cezhraničné prenosy sa môžu okrem prípadov, keď existujú rozhodnutia o primeranosti, uskutočňovať aj vtedy, keď prevádzkovateľ alebo sprostredkovateľ zabezpečil primerané záruky na kompenzáciu nedostatočnej ochrany údajov v tretej krajine alebo medzinárodnej organizácii. Takéto záruky môžu spočívať v právne záväzných a vykonateľných nástrojoch medzi orgánmi verejnej moci, záväzných vnútropodnikových pravidlách, vo využití štandardných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých dozorným orgánom alebo zmluvných doložiek povolených dozorným orgánom. Prevádzkovatelia alebo sprostredkovatelia v tretích krajinách môžu taktiež poskytovať primerané záruky za prenos osobných údajov do tretích krajín alebo medzinárodných organizácií. Môžu tak urobiť formou schváleného kódexu správania spolu so záväznými a vykonateľnými záväzkami uplatňovať primerané záruky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, a to aj pokiaľ ide o práva dotknutých osôb. Môžu tak robiť aj pomocou mechanizmu certifikácie, ktorý schválil príslušný dozorný orgán, spolu so záväzným a vymáhateľným záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb Odchýlky Pri absencii rozhodnutia o primeranosti alebo primeraných záruk sa prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže uskutočňovať na základe odchýlok, ktoré sa taxatívne uvádzajú v nariadení. Jedna z týchto odchýlok sa týka oprávnených záujmov, ktoré sleduje prevádzkovateľ v prípade, že záujmy alebo práva a slobody dotknutej osoby neprevažujú nad takýmito záujmami. S cieľom poskytnúť v prípade cezhraničných prenosov osobných údajov dostatočné záruky sú oprávnené záujmy prevádzkovateľa prísne vymedzené a môžu sa uplatňovať len ako ultimum remedium. Európsky výbor pre ochranu údajov musí v záujme konzistentného uplatňovania tohto nariadenia z vlastnej iniciatívy alebo na žiadosť Komisie vypracovať a zrevidovať usmernenia, odporúčania a najlepšie postupy s cieľom vymedziť podrobnejšie kritériá a požiadavky na prenos údajov v prípade absencie rozhodnutia o primeranosti alebo primeraných záruk. 5419/16 ADD 1 REV 1 ar/esh/mn 27

28 7. Dozorné orgány 7.1. Nezávislosť S cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov a uľahčiť voľný tok osobných údajov v rámci Únie musí každý členský štát určiť jeden alebo viac nezávislých orgánov verejnej moci zodpovedných za monitorovanie uplatňovania tohto nariadenia na jeho území. Každý dozorný orgán a jeho členovia musia pri plnení úloh a výkone im zverených právomocí konať úplne nezávisle a bezúhonne. Každý dozorný orgán musí prispievať ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel musia dozorné orgány spolupracovať navzájom i s Európskym výborom pre ochranu údajov a Komisiou. Konzistentné uplatňovanie nariadenia sa ďalej zabezpečuje stanovením právomocí dozorných orgánov a vymedzením úloh a minimálnych právomocí v oblasti vyšetrovania, nápravných právomocí a právomocí v oblasti povoľovania a poradenstva dozorných orgánov Služobné tajomstvo V pozícii Rady v prvom čítaní sa stanovujú pravidlá pre dozorné orgány a ich členov, ktoré sa týkajú služobného tajomstva. Po prvé, na člena alebo členov a personál každého dozorného orgánu sa v súlade s právom Únie alebo členského štátu musí vzťahovať povinnosť zachovávať služobné tajomstvo v súvislosti s dôvernými informáciami, o ktorých sa dozvedeli pri plnení svojich úloh alebo pri výkone svojich právomocí, tak počas ich funkčného obdobia, ako aj po ňom. V pozícii Rady sa ďalej uvádza, že počas ich funkčného obdobia sa povinnosť zachovávať služobné tajomstvo vzťahuje najmä na ohlasovanie porušení tohto nariadenia fyzickými osobami. Európsky výbor pre ochranu údajov sa okrem toho poveruje úlohou vydávať usmernenia, odporúčania a najlepšie postupy s cieľom vymedziť spoločné postupy pre ohlasovanie porušení tohto nariadenia fyzickými osobami. 5419/16 ADD 1 REV 1 ar/esh/mn 28