EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 16 ods. 2,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Výboru regiónov (1),
konajúc v súlade s riadnym legislatívnym postupom (2),
keďže:
(1)
Ochrana fyzických osôb v súvislosti so
spracúvaním osobných údajov patrí medzi základné práva. V článku 8
ods. 1 Charty základných práv Európskej únie (ďalej len „charta“)
a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa
stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho
týkajú.
(2)
Zásady a pravidlá ochrany fyzických
osôb pri spracúvaní ich osobných údajov by bez ohľadu na ich štátnu
príslušnosť alebo bydlisko mali rešpektovať základné práva a slobody,
najmä ich právo na ochranu osobných údajov. Táto smernica má prispieť
k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti.
(3)
Rýchly technologický rozvoj
a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných
údajov. Rozsah získavania a zdieľania osobných údajov sa výrazne
zväčšil. Technológia umožňuje pri výkone činností, ako napríklad
predchádzaní trestným činom, ich vyšetrovaní, odhaľovaní alebo stíhaní
alebo pri výkone trestných sankcií, spracúvať osobné údaje
v bezprecedentnom rozsahu.
(4)
Preto by sa mal uľahčiť voľný tok
osobných údajov medzi príslušnými orgánmi na účely predchádzania
trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na
účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej
bezpečnosti a predchádzania takémuto ohrozeniu v rámci Únie a prenos
takýchto osobných údajov do tretích krajín a medzinárodným organizáciám,
a to pri súčasnom zabezpečení vysokej úrovne ochrany osobných údajov.
Uvedená situácia si vyžaduje vytvorenie silného a jednotnejšieho rámca
ochrany osobných údajov v Únii, ktorý bude podporený jeho dôrazným
presadzovaním.
(5)
Smernica Európskeho parlamentu a Rady 95/46/ES (3)
sa vzťahuje na všetky spracúvania osobných údajov v členských štátoch,
a to vo verejnom aj v súkromnom sektore. Nevzťahuje sa však na
spracúvanie osobných údajov v rámci činností, ktoré sú mimo pôsobnosti
práva Spoločenstva, ako sú napríklad činnosti v oblasti justičnej
spolupráce v trestných veciach a v oblasti policajnej spolupráce.
(6)
Rámcové rozhodnutie Rady 2008/977/SVV (4)
sa vzťahuje na oblasť justičnej spolupráce v trestných veciach a oblasť
policajnej spolupráce. Rozsah pôsobnosti uvedeného rámcového
rozhodnutia je obmedzený na spracúvanie osobných údajov, ktoré sú
prenášané alebo sprístupňované medzi členskými štátmi.
(7)
V záujme zabezpečenia účinnej justičnej
spolupráce v trestných veciach a policajnej spolupráce je kľúčové
zaistiť konzistentnú ochranu osobných údajov fyzických osôb na vysokej
úrovni a uľahčiť výmenu osobných údajov medzi príslušnými orgánmi
členských štátov. Na uvedený účel by úroveň ochrany práv a slobôd
fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na
účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo
stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred
ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu mala
byť rovnocenná vo všetkých členských štátoch. Účinná ochrana osobných
údajov v rámci celej Únie si vyžaduje posilnenie práv dotknutých osôb
a povinností tých, ktorí osobné údaje spracúvajú, ako aj zodpovedajúcich
právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany
osobných údajov v členských štátoch.
(8)
V článku 16 ods. 2 ZFEÚ sa Európsky
parlament a Rada poverujú, aby stanovili pravidlá týkajúce sa ochrany
fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa
voľného pohybu osobných údajov.
(9)
Na uvedenom základe sa v nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 (5)
stanovujú všeobecné pravidlá na ochranu fyzických osôb pri spracúvaní
osobných údajov a na zabezpečenie voľného pohybu osobných údajov v rámci
Únie.
(10)
Vo vyhlásení č. 21 o ochrane osobných
údajov v oblastiach justičnej spolupráce v trestných veciach
a policajnej spolupráce, pripojenom k záverečnému aktu medzivládnej
konferencie, na ktorej bola prijatá Lisabonská zmluva, konferencia
uznala, že vzhľadom na osobitný charakter uvedených oblastí sa možno
budú musieť prijať osobitné pravidlá o ochrane osobných údajov
a o voľnom pohybe osobných údajov v oblastiach justičnej spolupráce
v trestných veciach a policajnej spolupráce na základe článku 16 ZFEÚ.
(11)
Je preto vhodné, aby uvedené oblasti
boli upravené smernicou, v ktorej sa stanovia osobitné pravidlá týkajúce
sa ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými
orgánmi na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií,
vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania
takémuto ohrozeniu pri rešpektovaní osobitnej povahy týchto činností.
Medzi takéto príslušné orgány môžu patriť nielen orgány verejnej moci,
ako napríklad justičné orgány, polícia alebo iné orgány presadzovania
práva, ale aj akýkoľvek iný orgán alebo subjekt, ktorý je právom
členského štátu poverený vykonávať verejnú moc a verejné právomoci na
účely tejto smernice. Ak takýto orgán alebo subjekt spracúva osobné
údaje na iné účely ako na účely tejto smernice, uplatňuje sa nariadenie
(EÚ) 2016/679. Nariadenie (EÚ) 2016/679 sa preto uplatňuje v prípadoch,
keď orgán alebo subjekt získava osobné údaje na iné účely a ďalej
spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa
naň vzťahuje. Napríklad finančné inštitúcie uchovávajú na účely
vyšetrovania, odhaľovania alebo stíhania trestných činov určité osobné
údaje, ktoré spracúvajú, a v jednotlivých prípadoch a v súlade s právom
členského štátu poskytujú tieto osobné údaje len príslušným
vnútroštátnym orgánom. Na orgán alebo subjekt, ktorý spracúva osobné
údaje v mene takýchto orgánov podľa tejto smernice, by sa mala vzťahovať
zmluva alebo iný právny akt a ustanovenia vzťahujúce sa na
sprostredkovateľov podľa tejto smernice, pričom uplatňovanie nariadenia
(EÚ) 2016/679 na spracúvanie osobných údajov sprostredkovateľom mimo
rozsahu pôsobnosti tejto smernice zostáva nedotknuté.
(12)
Činnosti, ktoré vykonáva polícia alebo
iné orgány presadzovania práva, sa sústreďujú predovšetkým na
predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo
stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe,
či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon
právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad
činnosť polície pri demonštráciách, významných športových podujatiach
a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy
uloženej polícii alebo iným orgánom presadzovania práva, ak je to
potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných
záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu
trestného činu, a na predchádzanie takémuto ohrozeniu. Členské štáty
môžu poveriť príslušné orgány ďalšími úlohami, ktoré nie sú nevyhnutne
vykonávané na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania, vrátane ochrany pred ohrozením verejnej
bezpečnosti alebo predchádzania takémuto ohrozeniu, v dôsledku čoho
spracúvanie osobných údajov na tieto iné účely, pokiaľ je v pôsobnosti
práva Únie, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679.
(13)
Trestný čin v zmysle tejto smernice by
mal byť autonómnym pojmom práva Únie, ako ho vykladá Súdny dvor
Európskej únie (ďalej len „Súdny dvor“).
(14)
Keďže táto smernica by sa nemala
vzťahovať na spracúvanie osobných údajov v rámci činnosti, ktorá nepatrí
do pôsobnosti práva Únie, činnosti týkajúce sa národnej bezpečnosti,
činnosti orgánov alebo útvarov zaoberajúcich sa otázkami národnej
bezpečnosti a spracúvanie osobných údajov členskými štátmi pri
vykonávaní činností, ktoré patria do rozsahu pôsobnosti hlavy V kapitoly
2 Zmluvy o Európskej únii (ZEÚ), by sa nemali považovať za činnosti,
ktoré patria do rozsahu pôsobnosti tejto smernice.
(15)
S cieľom zabezpečiť rovnakú úroveň
ochrany fyzických osôb právami, ktoré sú právnymi prostriedkami
vymáhateľné v celej Únii, a zabrániť rozdielom, ktoré sú prekážkou
výmeny osobných údajov medzi príslušnými orgánmi, by sa touto smernicou
mali stanoviť harmonizované pravidlá ochrany a voľného pohybu osobných
údajov, ktoré sa spracúvajú na účely predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti
a predchádzania takémuto ohrozeniu. Aproximácia právnych predpisov
členských štátov by nemala mať za následok zníženie ochrany osobných
údajov, ktorú poskytujú, ale naopak by sa mala snažiť zabezpečiť vysokú
úroveň ochrany v rámci Únie. Členským štátom by sa nemalo brániť
stanoviť prísnejšie záruky ochrany práv a slobôd dotknutých osôb pri
spracúvaní osobných údajov príslušnými orgánmi, ako sú záruky stanovené
v tejto smernici.
(16)
Touto smernicou nie je dotknutá zásada
prístupu verejnosti k úradným dokumentom. Podľa nariadenia (EÚ) 2016/679
môže osobné údaje v úradných dokumentoch, s ktorými nakladá orgán
verejnej moci alebo verejnoprávny či súkromnoprávny subjekt na splnenie
úlohy realizovanej vo verejnom záujme, tento orgán alebo subjekt
poskytnúť v súlade s právom Únie alebo právom členského štátu, ktoré sa
na tento orgán verejnej moci alebo verejnoprávny subjekt vzťahuje,
s cieľom zosúladiť prístup verejnosti k úradným dokumentom s právom na
ochranu osobných údajov.
(17)
Ochrana, ktorá sa poskytuje touto
smernicou, by sa mala vzťahovať na fyzické osoby bez ohľadu na ich
štátnu príslušnosť alebo miesto bydliska vo vzťahu ku spracúvaniu ich
osobných údajov.
(18)
S cieľom zabrániť vzniku závažného
rizika obchádzania predpisov by mala byť ochrana fyzických osôb
technologicky neutrálna a nemala by závisieť od použitých
technologických riešení. Ochrana fyzických osôb by sa mala vzťahovať na
spracúvanie osobných údajov automatizovanými prostriedkami, ako aj na
manuálne spracúvanie, ak sú osobné údaje uložené v informačnom systéme
alebo do neho majú byť uložené. Súbory alebo zbierky súborov, ako aj ich
titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií,
by nemali patriť do rozsahu pôsobnosti tejto smernice.
(19)
Na spracúvanie osobných údajov
inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie
Európskeho parlamentu a Rady (ES) č. 45/2001 (6).
Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie, ktoré sa
vzťahujú na takéto spracúvanie osobných údajov, by sa mali upraviť podľa
zásad a pravidiel stanovených v nariadení (EÚ) 2016/679.
(20)
Táto smernica nebráni členským štátom,
aby vo vnútroštátnych právnych predpisoch o trestnom konaní v súvislosti
so spracúvaním osobných údajov súdmi a inými justičnými orgánmi
upravili spracovateľské operácie a postupy, najmä pokiaľ ide o osobné
údaje uvedené v justičných rozhodnutiach alebo záznamoch v súvislosti
s trestným konaním.
(21)
Zásady ochrany údajov by sa mali
vzťahovať na všetky informácie týkajúce sa identifikovanej alebo
identifikovateľnej fyzickej osoby. Na určenie toho, či je fyzická osoba
identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri
ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo
iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu
identifikáciu fyzickej osoby. Na zistenie toho, či je primerane
pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej
osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady
a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú
v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov
by sa preto nemali uplatňovať na anonymné informácie, konkrétne na
informácie, ktoré sa nevzťahujú na identifikovanú alebo
identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali
anonymnými takým spôsobom, že dotknutá osoba už nie je
identifikovateľná.
(22)
Orgány verejnej moci, ktorým sa
poskytujú osobné údaje v súlade so zákonnou povinnosťou na výkon ich
oficiálnej úlohy, napríklad daňové a colné orgány, finančné spravodajské
jednotky, nezávislé správne orgány alebo orgány finančného trhu
zodpovedné za reguláciu trhov s cennými papiermi a dohľad nad nimi, by
sa nemali považovať za príjemcov, ak v súlade s právom Únie alebo právom
členského štátu prijímajú osobné údaje, ktoré sú nevyhnutné na
vykonávanie určitého zisťovania vo všeobecnom záujme. Žiadosti
o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu
so zdôvodnením, príležitostne a nemali by sa týkať celého informačného
systému ani viesť ku prepojeniu informačných systémov. Uvedené orgány
verejnej moci by mali osobné údaje spracúvať v súlade s uplatniteľnými
pravidlami ochrany údajov podľa účelov spracúvania.
(23)
Genetické údaje by sa mali vymedziť ako
osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických
charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné
informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré sú
výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä
analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo
ribonukleovej kyseliny (RNA) alebo analýzy akejkoľvek inej látky, ktorá
umožňuje získanie rovnocenných informácií. Vzhľadom na ucelenosť
a citlivosť genetických informácií existuje vysoké riziko, že
prevádzkovateľ údaje zneužije a opakovane použije na rôzne účely.
Akákoľvek diskriminácia na základe genetických vlastností by sa mala
v zásade zakázať.
(24)
Osobné údaje týkajúce sa zdravia by
mali zahŕňať všetky údaje týkajúce sa zdravotného stavu dotknutej osoby,
ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom
alebo duševnom zdravotnom stave dotknutej osoby. Zahŕňajú aj informácie
o fyzickej osobe získané pri registrácii na účely poskytovania služieb
zdravotnej starostlivosti danej fyzickej osobe alebo pri ich poskytovaní
podľa smernice Európskeho parlamentu a Rady 2011/24/EÚ (7);
číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený
na individuálnu identifikáciu tejto fyzickej osoby na zdravotné účely;
informácie získané na základe vykonania testov alebo prehliadok častí
organizmu alebo telesných látok vrátane genetických údajov
a biologických vzoriek; a akékoľvek informácie, napríklad o chorobe,
zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe,
alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez
ohľadu na zdroj týchto informácií, či už pochádzajú napríklad od lekára
alebo iného zdravotníckeho pracovníka, z nemocnice, zo zdravotníckej
pomôcky alebo z vykonania diagnostického testu in vitro.
(25)
Všetky členské štáty sú súčasťou
Medzinárodnej organizácie kriminálnej polície (Interpol). Na plnenie
svojho poslania Interpol prijíma, uchováva a rozosiela osobné údaje
s cieľom pomáhať príslušným orgánom predchádzať medzinárodnej trestnej
činnosti a bojovať proti nej. Preto je vhodné posilniť spoluprácu medzi
Úniou a Interpolom podporovaním efektívnej výmeny osobných údajov
a pritom zabezpečiť dodržiavanie základných práv a slobôd týkajúcich sa
automatizovaného spracúvania osobných údajov. Pri prenose osobných
údajov z Únie Interpolu a krajinám, ktoré delegovali členov do
Interpolu, by sa mala uplatňovať táto smernica, najmä ustanovenia
o medzinárodných prenosoch. Táto smernica by sa mala uplatňovať bez
toho, aby boli dotknuté osobitné pravidlá stanovené v spoločnej pozícii
Rady 2005/69/SVV (8) a rozhodnutí Rady 2007/533/SVV (9).
(26)
Každé spracúvanie osobných údajov musí
byť vo vzťahu k dotknutým fyzickým osobám zákonné, spravodlivé
a transparentné a osobné údaje možno spracúvať len na osobitné účely
stanovené právnymi predpismi. To samo osebe nebráni orgánom
presadzovania práva vo vykonávaní činností, ako je utajené vyšetrovanie
alebo monitorovanie kamerovým systémom. Takéto činnosti možno vykonávať
na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania
alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany
pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu,
pokiaľ sú stanovené právnymi predpismi a predstavujú nevyhnutné
a primerané opatrenie v demokratickej spoločnosti s náležitým zreteľom
na oprávnené záujmy dotknutej fyzickej osoby. Zásada spravodlivého
spracúvania má v súvislosti s ochranou údajov význam odlišný od práva na
spravodlivý proces vymedzeného v článku 47 charty a v článku 6
Európskeho dohovoru o ochrane ľudských práv a základných slobôd (ďalej
len „EDĽP“). Fyzické osoby by mali byť upozornené na riziká, pravidlá,
záruky a práva pri spracúvaní ich osobných údajov, ako aj na to, ako
uplatňovať svoje práva v súvislosti so spracúvaním. Najmä osobitné
účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne
uvedené, legitímne a stanovené v čase získavania osobných údajov. Osobné
údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa
spracúvajú. Malo by sa najmä zabezpečiť, aby získavané osobné údaje
neboli neprimerane rozsiahle a aby sa neuchovávali dlhšie, než je
nevyhnutné na účel, na ktorý sa spracúvajú. Osobné údaje by sa mali
spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných
podmienok dosiahnuť inými prostriedkami. S cieľom zabezpečiť, aby sa
údaje neuchovávali dlhšie, než je to nevyhnutné, by mal prevádzkovateľ
stanoviť lehoty na vymazanie alebo pravidelné preskúmanie. Členské štáty
by mali stanoviť primerané záruky pre osobné údaje uchovávané na dlhšie
obdobia na archiváciu vo verejnom záujme, vedecké, štatistické či
historické použitie.
(27)
V záujme predchádzania trestným činom,
ich vyšetrovania a stíhania je nevyhnutné, aby príslušné orgány
spracúvali osobné údaje, ktoré boli získané v kontexte predchádzania
konkrétnym trestným činom, ich vyšetrovania, odhaľovania alebo stíhania,
aj mimo tohto kontextu s cieľom rozvíjať poznatky o trestnej činnosti
a zisťovať súvislosti medzi rôznymi odhalenými trestnými činmi.
(28)
S cieľom zachovať bezpečnosť vo vzťahu
k spracúvaniu a predchádzať spracúvaniu v rozpore s touto smernicou by
sa osobné údaje mali spracúvať tak, aby sa zabezpečila primeraná úroveň
bezpečnosti a dôvernosti vrátane predchádzania neoprávnenému prístupu
k osobným údajom a zariadeniu používanému na spracúvanie alebo
neoprávnenému využitiu týchto údajov a zariadení, a aby sa zohľadnili
najnovšie dostupné poznatky a technológia, náklady na vykonanie opatrení
vzhľadom na riziká a povahu osobných údajov, ktoré sa majú chrániť.
(29)
Osobné údaje by sa mali získavať na
konkrétne určené, výslovne uvedené a legitímne účely, ktoré patria do
rozsahu pôsobnosti tejto smernice, a nemali by sa spracúvať na účely,
ktoré nie sú zlučiteľné s účelmi predchádzania trestným činom, ich
vyšetrovania, odhaľovania alebo stíhania alebo účelmi výkonu trestných
sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti
a predchádzania takémuto ohrozeniu. Ak osobné údaje spracúva ten istý
alebo iný prevádzkovateľ na iný účel, ktorý patrí do rozsahu pôsobnosti
tejto smernice, ako je účel, na ktorý boli získané, takéto spracúvanie
by malo byť povolené pod podmienkou, že takéto spracúvanie je prípustné
podľa uplatniteľných právnych ustanovení, je nevyhnutné na takýto iný
účel a je mu primerané.
(30)
Zásada správnosti údajov by sa mala
uplatňovať pri zohľadnení povahy a účelu predmetného spracúvania. Najmä
v rámci súdnych konaní sú vyjadrenia obsahujúce osobné údaje založené na
subjektívnom vnímaní fyzických osôb a nedajú sa vždy overiť. Následkom
toho by sa požiadavka na správnosť nemala vzťahovať na správnosť
vyjadrenia, ale iba na skutočnosť, že konkrétne vyjadrenie bolo dané.
(31)
K spracúvaniu osobných údajov v oblasti
justičnej spolupráce v trestných veciach a v oblasti policajnej
spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú
rôznych kategórií dotknutých osôb. Preto by sa tam, kde je
o uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať
medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú
podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné
osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami
alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených
páchateľov trestných činov. To by nemalo brániť uplatňovaniu práva na
prezumpciu neviny zaručeného chartou a EDĽP, ako sa vykladajú
v judikatúre Súdneho dvora a Európskym súdom pre ľudské práva.
(32)
Príslušné orgány by mali zabezpečiť,
aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú
aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu
fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti
a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by
mali príslušné orgány pri každom prenose osobných údajov podľa možnosti
doplniť potrebné informácie.
(33)
Ak sa v tejto smernici odkazuje na
právo členského štátu, právny základ alebo legislatívne opatrenie,
nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý parlamentom,
bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku
dotknutého členského štátu. Takéto právo členského štátu, právny základ
alebo legislatívne opatrenie by však mali byť jasné a presné a ich
uplatňovanie predvídateľné pre tých, na ktorých sa vzťahujú, ako to
vyžaduje judikatúra Súdneho dvora a Európskeho súdu pre ľudské práva.
V práve členského štátu, ktorým sa upravuje spracúvanie osobných údajov
v rámci rozsahu pôsobnosti tejto smernice, by sa mali uviesť aspoň
ciele, osobné údaje, ktoré sa majú spracúvať, účely spracúvania
a postupy na zachovanie integrity a dôvernosti osobných údajov a postupy
na ich likvidáciu, čím sa poskytnú dostatočné záruky voči riziku
zneužitia a svojvoľnosti.
(34)
Spracúvanie osobných údajov príslušnými
orgánmi na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií,
vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania
takémuto ohrozeniu by malo zahŕňať akúkoľvek operáciu alebo súbor
operácií s osobnými údajmi alebo súbormi osobných údajov na uvedené
účely, napríklad získavanie, zaznamenávanie, usporadúvanie,
štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie,
prehliadanie, využívanie, preskupovanie alebo kombinovanie, obmedzenie
spracúvania, vymazanie alebo likvidácia, a to bez ohľadu na to, či sa
vykonávajú automatizovanými prostriedkami alebo inými prostriedkami.
Pravidlá tejto smernice by sa mali vzťahovať najmä na prenos osobných
údajov na účely tejto smernice príjemcovi, na ktorého sa táto smernica
nevzťahuje. Pojem príjemca by mal v tejto súvislosti znamenať fyzickú
alebo právnickú osobu, orgán verejnej moci, agentúru alebo akýkoľvek iný
subjekt, ktorému osobné údaje zákonne poskytuje príslušný orgán. Ak
osobné údaje pôvodne získal príslušný orgán na niektorý z účelov tejto
smernice, nariadenie (EÚ) 2016/679 by sa malo uplatňovať na spracúvanie
týchto údajov na iné účely, než sú účely tejto smernice, ak je takéto
spracúvanie prípustné podľa práva Únie alebo práva členského štátu.
Pravidlá nariadenia (EÚ) 2016/679 by sa mali uplatňovať najmä na prenos
osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto
smernice. Na spracúvanie osobných údajov príjemcom, ktorý nie je
príslušným orgánom alebo ktorý nekoná ako príslušný orgán v zmysle tejto
smernice a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa
malo vzťahovať nariadenie (EÚ) 2016/679. Členské štáty by mali mať
popri vykonávaní tejto smernice aj možnosť spresniť uplatňovanie
pravidiel nariadenia (EÚ) 2016/679, a to pri dodržaní podmienok v ňom
stanovených.
(35)
Na to, aby bolo spracúvanie osobných
údajov podľa tejto smernice zákonné, by malo byť nevyhnutné na splnenie
úlohy realizovanej vo verejnom záujme príslušným orgánom na základe
práva Únie alebo práva členského štátu na účely predchádzania trestným
činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely
výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej
bezpečnosti a predchádzania takémuto ohrozeniu. Uvedené činnosti by mali
zahŕňať ochranu životne dôležitých záujmov dotknutej osoby. Plnenie
úloh spočívajúcich v predchádzaní trestným činom, ich vyšetrovaní,
odhaľovaní alebo stíhaní inštitucionálne zverené právnymi predpismi
príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im
prikazovať, aby vyhoveli žiadostiam. V takomto prípade by právnym
dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť
súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od
dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba
nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa
nemohla považovať za slobodné vyjadrenie jej vôle. To by však nemalo
brániť členským štátom stanoviť prostredníctvom právnych predpisov, že
dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na
účely tejto smernice, ako sú napríklad testy DNA pri vyšetrovaní
trestného činu alebo monitorovanie jej polohy pomocou technických
prostriedkov pri výkone trestných sankcií.
(36)
Členské štáty by mali stanoviť, že ak
sa v práve Únie alebo v práve členského štátu, ktoré sa vzťahuje na
príslušný orgán, ktorý uskutočňuje prenos, stanovujú osobitné podmienky
uplatniteľné za konkrétnych okolností na spracúvanie osobných údajov,
napríklad ako používanie manipulačných pravidiel, príslušný orgán, ktorý
uskutočňuje prenos, by mal informovať príjemcu takýchto osobných údajov
o týchto podmienkach a požiadavke dodržiavať ich. Takéto podmienky by
mohli napríklad zahŕňať zákaz ďalšieho prenosu osobných údajov iným
alebo ich využívania na iné účely ako účely, na ktoré boli prenesené
príjemcovi, alebo informovanie dotknutej osoby v prípade obmedzenia
práva na informácie bez predchádzajúceho súhlasu príslušného orgánu,
ktorý uskutočňuje prenos. Uvedené povinnosti by sa mali vzťahovať aj na
prenos od príslušného orgánu, ktorý uskutočňuje prenos, príjemcom
v tretích krajinách alebo medzinárodným organizáciám. Členské štáty by
mali zabezpečiť, aby príslušný orgán, ktorý uskutočňuje prenos,
neuplatňoval na príjemcov v iných členských štátoch alebo na agentúry,
úrady a orgány zriadené podľa hlavy V kapitol 4 a 5 ZFEÚ iné podmienky,
než ktoré sú uplatniteľné na podobný prenos údajov v rámci členského
tohto príslušného orgánu.
(37)
Osobné údaje, ktoré sú svojou povahou
obzvlášť citlivé v súvislosti so základnými právami a slobodami si
zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli
pre základné práva a slobody vyplývať významné riziká. Uvedené osobné
údaje by mali zahŕňať osobné údaje, ktoré odhaľujú rasový alebo etnický
pôvod, pričom použitie výrazu „rasový pôvod“ v tejto smernici neznamená,
že Únia akceptuje teórie, ktoré sa usilujú stanoviť existenciu
oddelených ľudských rás. Takéto osobné údaje by sa nemali spracúvať,
pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva a slobody
dotknutých osôb stanoveným právnymi predpismi, pričom je prípustné
v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je
povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých
záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov,
ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv
a slobôd dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje
iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť
primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu
personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov.
Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak
dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu
obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal
poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných
údajov príslušnými orgánmi.
(38)
Dotknutá osoba by mala mať právo na to,
aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou
súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní
a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné
dôsledky. V každom prípade by takéto spracúvanie malo podliehať
primeraným zárukám vrátane poskytnutia určitých informácií dotknutej
osobe a právu na ľudský zásah, najmä vyjadriť svoj názor, právu dostať
vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo
napadnúť toto rozhodnutie. Profilovanie, ktoré vedie k diskriminácii
fyzických osôb na základe osobných údajov, ktoré sú svojou povahou
obzvlášť citlivé v súvislosti so základnými právami a slobodami, by malo
byť zakázané za podmienok stanovených v článkoch 21 a 52 charty.
(39)
S cieľom umožniť výkon práv dotknutej
osoby, akékoľvek informácie by jej mali byť ľahko dostupné, a to aj na
webovom sídle prevádzkovateľa, a mali by byť ľahko pochopiteľné,
s jasnou a jednoduchou formuláciou. Takéto informácie by mali byť
prispôsobené potrebám zraniteľných osôb, napríklad detí.
(40)
Mali by sa stanoviť postupy, ktoré by
dotknutej osobe uľahčili uplatnenie jej práv stanovených v ustanoveniach
prijatých podľa tejto smernice a ktoré by zahŕňali mechanizmy na
vyžiadanie si a prípadné získanie bezplatného prístupu predovšetkým
k osobným údajom a ich bezplatnú opravu alebo vymazanie a obmedzenie
spracúvania. Prevádzkovateľ by mal byť povinný odpovedať na žiadosti
dotknutej osoby bez zbytočného odkladu, pokiaľ prevádzkovateľ neobmedzí
práva dotknutej osoby v súlade s touto smernicou. Ak sú navyše žiadosti
zjavne neopodstatnené alebo neprimerané, napríklad ak dotknutá osoba
bezdôvodne a opakovane požaduje informácie alebo ak dotknutá osoba
zneužíva svoje právo na informácie, napríklad poskytovaním nepravdivých
alebo zavádzajúcich informácií pri podaní žiadosti, prevádzkovateľ by
mal môcť požadovať primeraný poplatok alebo odmietnuť konať na základe
takejto žiadosti.
(41)
Ak prevádzkovateľ žiada o poskytnutie
dodatočných informácií potrebných na potvrdenie totožnosti dotknutej
osoby, mali by sa tieto informácie spracúvať len na tento konkrétny účel
a nemali by sa uchovávať dlhšie, než je na tento účel potrebné.
(42)
Dotknutej osobe by sa mali poskytnúť
aspoň tieto informácie: totožnosť prevádzkovateľa, existencia
spracovateľskej operácie, účely spracúvania, právo podať sťažnosť
a existencia práva žiadať od prevádzkovateľa prístup k osobným údajom
a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie
by sa mohli poskytnúť prostredníctvom webového sídla príslušného
orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej
osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho
dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre
spracúvanie a o tom, ako dlho sa budú údaje uchovávať, a to v rozsahu,
v ktorom sú takéto ďalšie informácie potrebné, berúc do úvahy osobitné
okolnosti, za ktorých sa údaje spracúvajú.
(43)
Fyzická osoba by mala mať právo na
prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho
a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti
spracúvania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať
právo vedieť a byť informovaná o účeloch spracúvania údajov, o dobe,
počas ktorej sa budú údaje spracúvať, a o príjemcoch údajov vrátane
príjemcov v tretích krajinách. Ak takéto informovanie zahŕňa informácie
o pôvode osobných údajov, nemali by tieto informácie prezrádzať
totožnosť fyzických osôb, najmä z dôverných zdrojov. Na dodržanie tohto
práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie
uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá
umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch a aby
si overila, že sú správne a spracúvané v súlade s touto smernicou, aby
si mohla uplatniť práva, ktoré jej táto smernica priznáva. Takéto
zhrnutie by sa mohlo poskytovať formou kópie osobných údajov, ktoré sa
spracúvajú.
(44)
Členské štáty by mali mať možnosť
prijať legislatívne opatrenia, podľa ktorých sa poskytovanie informácií
dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne
či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu
a na tak dlho, ako je toto opatrenie s náležitým zreteľom na základné
práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej
spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného
alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo
ohrozeniu predchádzania trestným činom, ich vyšetrovania, odhaľovania
alebo stíhania alebo výkonu trestných sankcií, aby sa ochránila verejná
bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva
a slobody iných. Prevádzkovateľ by mal prostredníctvom konkrétneho
a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na
prístup malo čiastočne alebo úplne obmedziť.
(45)
Akékoľvek zamietnutie alebo obmedzenie
prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by
zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie
založené.
(46)
Akékoľvek obmedzenie práv dotknutej
osoby musí byť v súlade s chartou a EDĽP, ako sa vykladajú v judikatúre
Súdneho dvora a Európskym súdom pre ľudské práva, a predovšetkým musí
rešpektovať podstatu uvedených práv a slobôd.
(47)
Fyzická osoba by tiež mala mať právo na
opravu nesprávnych osobných údajov, ktoré sa jej týkajú, najmä ak sa
týkajú skutočností, ako aj právo na ich vymazanie, ak je spracúvanie
takýchto údajov v rozpore s touto smernicou. Právom na opravu by však
nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by
mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných
údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je
potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania
osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa
v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo
ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa
obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich
vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem
iného mohli zahŕňať presunutie vybraných údajov do iného systému
spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu
k nim. V automatizovaných informačných systémoch by sa obmedzenie
spracúvania malo v zásade zabezpečiť technickými prostriedkami.
Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme
mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov
je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo
obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje
poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú.
Prevádzkovatelia by takisto mali upustiť od ďalšieho šírenia takýchto
údajov.
(48)
Ak prevádzkovateľ dotknutej osobe
odoprie jej právo na informácie, prístup alebo opravu či vymazanie
osobných údajov alebo obmedzenie spracúvania, dotknutá osoba by mala mať
právo požiadať vnútroštátny dozorný orgán, aby overil zákonnosť
spracúvania. Dotknutá osoba by mala byť o uvedenom práve informovaná. Ak
dozorný orgán koná v mene dotknutej osoby, mal by ju informovať aspoň
o tom, že uskutočnil všetky potrebné overenia alebo preskúmania. Dozorný
orgán by mal dotknutú osobu tiež informovať o práve na súdny
prostriedok nápravy.
(49)
Ak sa osobné údaje spracúvajú počas
vyšetrovania trestného činu a súdneho konania v trestných veciach,
členské štáty by mali mať možnosť stanoviť, že uplatňovanie práva na
informácie, prístup a opravu alebo vymazanie osobných údajov
a obmedzenie spracúvania sa vykonáva v súlade s vnútroštátnymi
pravidlami súdneho konania.
(50)
Mali by sa stanoviť povinnosti
a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním
osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene.
Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné
opatrenia a mal by vedieť preukázať súlad spracovateľských činností
s touto smernicou. Takéto opatrenia by mali zohľadniť povahu, rozsah,
kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.
Opatrenia, ktoré prevádzkovateľ prijme, by mali zahŕňať vypracovanie
a prijatie osobitných záruk týkajúcich sa nakladania s osobnými údajmi
zraniteľných fyzických osôb, napríklad detí.
(51)
Riziko pre práva a slobody fyzických
osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo
spracúvania údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej
alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť
k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate,
poškodeniu dobrého mena, strate dôvernosti údajov chránených profesijným
tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek
inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by
dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo kontroly
nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce
rasový alebo etnický pôvod, politické názory, náboženstvo alebo
filozofické názory alebo členstvo v odborových organizáciách; ak sa
spracúvajú genetické údaje alebo biometrické údaje na individuálnu
identifikáciu osoby, alebo ak sa spracúvajú údaje týkajúce sa zdravia či
údaje týkajúce sa sexuálneho života a sexuálnej orientácie alebo
uznania viny zo spáchania trestného činu a priestupku či súvisiacich
bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa
analyzujú a predvídajú aspekty týkajúce sa výkonnosti v práci,
majetkových pomerov, zdravia, osobných preferencií alebo záujmov,
spoľahlivosti alebo správania, polohy alebo pohybu s cieľom vytvoriť
alebo používať osobné profily; ak sa spracúvajú osobné údaje
zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa
veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých
osôb.
(52)
Pravdepodobnosť a závažnosť rizika by
sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov
spracúvania. Riziko by sa malo posudzovať na základe objektívneho
posúdenia, ktorým sa určí, či operácie spracúvania údajov zahŕňajú
vysoké riziko. Vysoké riziko je osobitné riziko ohrozenia práv a slobôd
dotknutých osôb.
(53)
Ochrana práv a slobôd fyzických osôb
pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané
technické a organizačné opatrenia s cieľom zabezpečiť splnenie
požiadaviek stanovených v tejto smernici. Vykonávanie takýchto opatrení
by nemalo závisieť výlučne od hospodárskych okolností. Na to, aby mohol
prevádzkovateľ preukázať súlad s touto smernicou, by mal prijať interné
pravidlá a vykonať opatrenia, ktoré budú predovšetkým spĺňať zásady
špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Ak
prevádzkovateľ vykonal posúdenie vplyvu na ochranu údajov v súlade
s touto smernicou, jeho výsledky by sa mali zohľadniť pri vypracovaní
uvedených opatrení a postupov. Uvedené opatrenia by mohli pozostávať
okrem iného z čo najskoršieho využívania pseudonymizácie. Využívanie
pseudonymizácie na účely tejto smernice môže slúžiť ako nástroj, ktorý
by mohol uľahčiť najmä voľný tok osobných údajov v rámci priestoru
slobody, bezpečnosti a spravodlivosti.
(54)
Ochrana práv a slobôd dotknutých osôb,
ako aj povinnosti a zodpovednosť prevádzkovateľov a sprostredkovateľov,
a to aj v súvislosti s monitorovaním zo strany dozorných orgánov a ich
opatreniami, si vyžaduje jasné rozdelenie povinností stanovených v tejto
smernici vrátane prípadov, v ktorých prevádzkovateľ určuje účely
a prostriedky spracúvania spoločne s inými prevádzkovateľmi, alebo
v prípadoch, v ktorých sa spracovateľská operácia vykonáva v mene
prevádzkovateľa.
(55)
Vykonávanie spracúvania
sprostredkovateľom by sa malo riadiť právnym aktom vrátane zmluvy, ktoré
zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa najmä
stanovuje, že sprostredkovateľ by mal konať len na základe pokynov
prevádzkovateľa. Sprostredkovateľ by mal zohľadňovať zásadu špecificky
navrhnutej a štandardnej ochrany údajov.
(56)
Na účely preukázania súladu s touto
smernicou by prevádzkovateľ alebo sprostredkovateľ mali viesť záznamy
o všetkých kategóriách spracovateľských činností, za ktoré sú
zodpovední. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný
spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť uvedené
záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských
operácií. Prevádzkovateľ alebo sprostredkovateľ, ktorí spracúvajú osobné
údaje v systémoch neautomatizovaného spracúvania, by mali zaviesť
účinné metódy na preukázanie zákonnosti spracúvania, umožnenie vlastného
monitorovania a zabezpečenie integrity a bezpečnosti údajov, ako sú
napríklad logy alebo iné formy záznamov.
(57)
Logy by sa mali viesť aspoň pre
operácie v systémoch automatizovaného spracúvania, ako je získavanie,
zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo
vymazanie. Mali by sa zaznamenávať identifikačné údaje osoby, ktorá
osobné údaje prehliadala alebo ich poskytla, a z uvedených
identifikačných údajov by malo byť možné vyvodiť dôvody spracovateľských
operácií. Logy by sa mali využívať výlučne na overovanie zákonnosti
spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti
údajov a na účely trestného konania. Vlastné monitorovanie by malo
zahŕňať aj interné disciplinárne konanie príslušných orgánov.
(58)
Ak spracovateľské operácie z dôvodu
svojej povahy, rozsahu alebo účelov pravdepodobne povedú k vysokému
riziku pre práva a slobody dotknutých osôb, prevádzkovateľ by mal
vykonať posúdenie vplyvu na ochranu údajov, ktoré by malo zahŕňať najmä
opatrenia, záruky a mechanizmy plánované na zaručenie ochrany osobných
údajov a na preukázanie súladu s touto smernicou. Posúdenia vplyvu by sa
mali týkať príslušných systémov a procesov spracovateľských operácií,
ale nie konkrétnych prípadov.
(59)
V určitých prípadoch by prevádzkovateľ
alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie
pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv a slobôd
dotknutých osôb.
(60)
S cieľom zachovať bezpečnosť
a predchádzať spracúvaniu, ktoré je v rozpore s touto smernicou, by
prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so
spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako
napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť
primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť
najnovšie poznatky, náklady na vykonanie opatrení v súvislosti
s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri
posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť
riziká spojené so spracúvaním údajov, ako sú napríklad náhodné alebo
nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie
prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo
neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví,
majetkovej alebo nemajetkovej ujme. Prevádzkovateľ a sprostredkovateľ by
mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali
neoprávnené osoby.
(61)
Ak sa porušenie ochrany osobných údajov
nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu
na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata
kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb,
diskriminácia, krádež totožnosti alebo podvod, finančná strata,
neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata
dôvernosti osobných údajov chránených profesijným tajomstvom alebo
akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej
fyzickej osoby. Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že
došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu
a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že
došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť
dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so
zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie
ochrany osobných údajov povedie k riziku pre práva a slobody fyzických
osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu
pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo
viacerých fázach bez ďalšieho zbytočného odkladu.
(62)
Ak porušenie ochrany osobných údajov
pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických
osôb, mala by sa táto skutočnosť bez zbytočného odkladu oznámiť fyzickým
osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia.
V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov,
ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť
potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované
čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade
s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba
zmierniť bezprostredné riziko škody by si vyžadovala promptné
informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané
opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany
údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť
mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania,
zabrániť ohrozeniu predchádzania trestným činom, ich odhaľovania,
vyšetrovania alebo stíhania alebo výkonu trestných sankcií, či dosiahnuť
ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu
práv a slobôd iných osôb prostredníctvom odkladu alebo obmedzenia
informovania dotknutej osoby o porušení ochrany osobných údajov, možno
vo výnimočných prípadoch od takéhoto oznámenia upustiť.
(63)
Prevádzkovateľ by mal určiť osobu,
ktorá by mu pomáhala pri monitorovaní interného súladu s ustanoveniami
prijatými podľa tejto smernice, s výnimkou prípadov, keď sa členský štát
rozhodne udeliť výnimku súdom a iným nezávislým justičným orgánom pri
výkone ich súdnej právomoci. Uvedenou osobou by mohol byť existujúci
člen personálu prevádzkovateľa, ktorý bol odborne vyškolený v oblasti
práva a postupov v oblasti ochrany údajov, aby získal odborné znalosti
v tejto oblasti. Potrebná úroveň odborných znalostí by sa mala určiť
najmä v závislosti od vykonávaného spracúvania údajov a od požadovanej
ochrany osobných údajov, ktoré spracúva prevádzkovateľ. Svoje úlohy by
mohla táto osoba vykonávať na plný alebo kratší pracovný čas. Zodpovednú
osobu môže spoločne vymenovať viacero prevádzkovateľov, pričom sa
zohľadní ich organizačná štruktúra a veľkosť, napríklad v prípade
spoločných zdrojov ústredných útvarov. Uvedenú osobu tiež možno
vymenovať na rôzne pracovné miesta v rámci štruktúry príslušných
prevádzkovateľov. Uvedená osoba by mala pomáhať prevádzkovateľovi
a zamestnancom spracúvajúcim osobné údaje tak, že ich informuje
a poskytuje im poradenstvo o dodržiavaní ich príslušných povinností
v oblasti ochrany údajov. Takéto zodpovedné osoby by mali mať možnosť
vykonávať svoje povinnosti a úlohy nezávisle v súlade s právom členského
štátu.
(64)
Členské štáty by mali zabezpečiť, aby
sa prenos do tretej krajiny alebo medzinárodnej organizácii uskutočnil
len vtedy, ak je to potrebné na predchádzanie trestným činom, ich
vyšetrovanie, odhaľovanie alebo stíhanie alebo na výkon trestných
sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti
a predchádzanie takémuto ohrozeniu, pričom prevádzkovateľ v tretej
krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle
tejto smernice. Prenos by mali uskutočniť len príslušné orgány konajúce
ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom
výslovne udelil pokyn uskutočniť prenos v mene prevádzkovateľov. Takýto
prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia
krajina alebo medzinárodná organizácia zaručuje primeranú úroveň
ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre
osobitné situácie. Úroveň ochrany fyzických osôb stanovená Úniou na
základe tejto smernice by nemala byť ohrozená, keď sa osobné údaje
prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným
príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani
v prípadoch následného prenosu osobných údajov z tretej krajiny alebo
medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom
v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.
(65)
V prípade prenosu osobných údajov
z členského štátu do tretích krajín alebo medzinárodným organizáciám by
sa takýto prenos mal v zásade uskutočniť iba po tom, čo ho povolil
členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce
v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je
ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny
alebo základných záujmov členského štátu také bezprostredné, že nie je
možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať
možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej
krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho
povolenia. Členské štáty by mali stanoviť, že akékoľvek osobitné
podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo
medzinárodným organizáciám. Následné prenosy osobných údajov by mali
podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý
uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie
následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný
prenos, náležite zohľadniť všetky relevantné okolnosti vrátane
závažnosti trestného činu, osobitných podmienok a účelu pôvodného
prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne
ochrany osobných údajov v tretej krajine alebo medzinárodnej
organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov.
Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť
stanoviť osobitné podmienky pre následný prenos. Takéto osobitné
podmienky možno opísať napríklad v manipulačných pravidlách.
(66)
Komisia by mala mať možnosť
s účinnosťou pre celú Úniu rozhodnúť, že určité tretie krajiny, územie
alebo jeden či viaceré určené sektory v tretej krajine, alebo
medzinárodná organizácia zaručuje primeranú úroveň ochrany, čím zaisťuje
právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretie krajiny
alebo medzinárodné organizácie, ktoré sa považujú za tretie krajiny
a medzinárodné organizácie poskytujúce takúto úroveň ochrany. V takýchto
prípadoch by prenosy osobných údajov do uvedených krajín malo byť možné
uskutočňovať bez potreby získania osobitného povolenia, okrem prípadov,
ak musí prenos povoliť iný členský štát, od ktorého sa údaje získali.
(67)
V súlade so základnými hodnotami, na
ktorých je založená Únia, najmä pokiaľ ide o ochranu ľudských práv, by
Komisia mala pri posúdení tretej krajiny alebo územia či určeného
sektora v rámci tretej krajiny zohľadniť skutočnosť, ako daná tretia
krajina dodržiava zásady právneho štátu, prístupu k spravodlivosti
a medzinárodné normy a štandardy v oblasti ľudských práv, ako aj jej
všeobecné a odvetvové právo vrátane právnych predpisov týkajúcich sa
verejnej bezpečnosti, obrany a národnej bezpečnosti, ako aj verejného
poriadku a trestného práva. Pri prijímaní rozhodnutia o primeranosti
týkajúceho sa územia alebo určeného sektora v tretej krajine by sa mali
zohľadniť jasné a objektívne kritériá, ako sú napríklad osobitné
spracovateľské činnosti a rozsah pôsobnosti uplatniteľných právnych
noriem a platných právnych predpisov v tretej krajine. Tretia krajina by
mala navrhnúť záruky, ktoré zaistia primeraná úroveň ochrany, ktorá
v zásade zodpovedá úrovni zabezpečenej v rámci Únie, najmä ak sa údaje
spracúvajú v jednom alebo vo viacerých určených sektoroch. Tretia
krajina by predovšetkým mala zabezpečiť účinný a nezávislý dozor nad
ochranou údajov a ustanoviť mechanizmy spolupráce s orgánmi členských
štátov na ochranu údajov a dotknutým osobám by sa mali poskytnúť účinné
a vymožiteľné práva a účinné správne a súdne prostriedky nápravy.
(68)
Okrem medzinárodných záväzkov, ktoré
tretia krajina alebo medzinárodná organizácia prevzali, by Komisia mala
zohľadniť aj povinnosti vyplývajúce z účasti tretej krajiny alebo
medzinárodnej organizácie vo viacstranných alebo regionálnych systémoch,
najmä vo vzťahu k ochrane osobných údajov, ako aj k vykonávaniu
takýchto záväzkov. Predovšetkým by sa malo zohľadniť pristúpenie tretej
krajiny k Dohovoru Rady Európy z 28. januára 1981 o ochrane jednotlivcov
pri automatizovanom spracovaní osobných údajov a dodatkovému protokolu
k nemu. Komisia by pri posudzovaní úrovne ochrany v tretích krajinách
alebo medzinárodných organizáciách mala uskutočniť konzultácie
s Európskym výborom pre ochranu údajov zriadeným nariadením (EÚ)
2016/679 (ďalej len „Výbor“). Komisia by tiež mala zohľadniť príslušné
rozhodnutie Komisie o primeranosti prijaté podľa článku 45 nariadenia
(EÚ) 2016/679.
(69)
Komisia by mala monitorovať fungovanie
rozhodnutí o úrovni ochrany v tretej krajine, na území alebo v určenom
sektore v tretej krajine alebo v medzinárodnej organizácii. Komisia by
vo svojich rozhodnutiach o primeranosti mala ustanoviť mechanizmus na
pravidelné preskúmanie ich fungovania. Uvedené pravidelné preskúmanie by
sa malo uskutočniť po konzultácii s predmetnou treťou krajinou alebo
medzinárodnou organizáciou a mali by sa v ňom zohľadniť všetky významné
zmeny v tretej krajine alebo medzinárodnej organizácii.
(70)
Komisia by tiež mala mať možnosť
dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej
krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň
ochrany údajov. V dôsledku toho by sa mal prenos osobných údajov do
uvedenej tretej krajiny alebo medzinárodnej organizácii zakázať, pokiaľ
nie sú splnené požiadavky uvedené v tejto smernici týkajúce sa prenosov
na základe primeraných záruk a výnimiek pre osobitné situácie. Mali by
sa stanoviť postupy na účely konzultácie medzi Komisiou a takýmito
tretími krajinami alebo medzinárodnými organizáciami. Komisia by mala
včas informovať tretiu krajinu alebo medzinárodnú organizáciu o dôvodoch
a začať s ňou konzultácie s cieľom napraviť tento stav.
(71)
Prenosy, ktoré nie sú založené na
takomto rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa
poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu
osobných údajov, alebo ak prevádzkovateľ posúdil všetky okolnosti
sprevádzajúce prenos údajov a na základe tohto posúdenia dospel
k záveru, že existujú primerané záruky ochrany osobných údajov. Takýmito
právne záväznými aktmi by mohli byť napríklad právne záväzné
dvojstranné dohody uzavreté členskými štátmi a transponované do ich
právneho poriadku a ktorých výkonu by sa mohli domáhať ich dotknuté
osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva
dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok
nápravy. Prevádzkovateľ by mal mať možnosť pri výkone posudzovania
všetkých okolností sprevádzajúcich prenos údajov zohľadniť dohody
o spolupráci uzavreté medzi Europolom alebo Eurojustom a tretími
krajinami, ktoré umožňujú výmenu osobných údajov. Prevádzkovateľ by mal
mať možnosť zohľadniť aj skutočnosť, že prenos osobných údajov bude
podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti,
čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú
účely prenosu. Okrem toho by mal prevádzkovateľ zohľadniť, že osobné
údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti
alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania.
Hoci by sa uvedené podmienky mohli považovať za primerané záruky
umožňujúce prenos údajov, prevádzkovateľ by mal mať možnosť vyžadovať
dodatočné záruky.
(72)
V prípadoch, keď neexistuje žiadne
rozhodnutie o primeranosti ani primerané záruky, malo by byť možné
uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách,
ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej
osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej
osoby, ak to stanovuje právo členského štátu, ktorý uskutočňuje prenos
osobných údajov; na predchádzanie bezprostrednému a vážnemu ohrozeniu
verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom
prípade na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií
vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania
takémuto ohrozeniu; alebo v jednotlivom prípade na preukazovanie,
uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa
mali vykladať reštriktívne a nemali by umožňovať časté, hromadné
a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov,
ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy
by mali byť zdokumentované a mali by sa na požiadanie sprístupniť
dozornému orgánu na účely monitorovania zákonnosti prenosu.
(73)
Príslušné orgány členských štátov
uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody
uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných
veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré
im umožňujú výkon ich úloh uložených zákonom. V zásade sa to
uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín
príslušných na účely tejto smernice alebo aspoň v spolupráci s nimi,
niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná
dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne
postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej
krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa
presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej
krajine nedodržiava zásady právneho štátu alebo medzinárodné normy
a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány
členských štátov mohli rozhodnúť, že uskutočnia prenos osobných údajov
priamo príjemcom usadeným v týchto tretích krajinách. Možno tak
postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných
údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou
trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu
trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi
príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo
dochádzať len v určitých jednotlivých prípadoch, v tejto smernici by sa
mali stanoviť podmienky s cieľom úpravy takýchto prípadov. Uvedené
ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich
dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti
justičnej spolupráce v trestných veciach a policajnej spolupráce.
Uvedené pravidlá by sa mali uplatňovať ako doplnok k ostatným pravidlám
uvedeným v tejto smernici, najmä pravidlám o zákonnosti spracúvania
a kapitoly V.
(74)
Pri cezhraničnom pohybe osobných údajov
môže byť schopnosť fyzických osôb uplatňovať si práva na ochranu údajov
v záujme vlastnej ochrany pred nezákonným využitím alebo poskytovaním
uvedených údajov vystavená vyššiemu riziku. Zároveň môžu dozorné orgány
zistiť, že nedokážu vybavovať sťažnosti alebo viesť vyšetrovanie
týkajúce sa činností vykonávaných za ich hranicami. Prekážkou v ich
úsilí spolupracovať v cezhraničnom kontexte môžu byť aj nedostatočné
preventívne alebo nápravné právomoci, ako aj rozdiely medzi právnymi
poriadkami. Preto je potrebné podporovať užšiu spoluprácu medzi
dozornými orgánmi v oblasti ochrany údajov s cieľom pomôcť im pri výmene
informácií s ich zahraničnými partnermi.
(75)
Zriadenie dozorných orgánov v členských
štátoch, ktoré majú možnosť vykonávať svoje funkcie úplne nezávisle, je
zásadným prvkom ochrany fyzických osôb pri spracúvaní ich osobných
údajov. Dozorné orgány by mali monitorovať uplatňovanie ustanovení
prijatých podľa tejto smernice a mali by prispievať k ich konzistentnému
uplatňovaniu v celej Únii v záujme ochrany fyzických osôb pri
spracúvaní ich osobných údajov. Na uvedený účel by dozorné orgány mali
spolupracovať navzájom, ako aj s Komisiou.
(76)
Členské štáty môžu dozornému orgánu,
ktorý je už zriadený na základe nariadenia (EÚ) 2016/679, zveriť
zodpovednosť za úlohy, ktoré majú vykonávať vnútroštátne dozorné orgány,
ktoré sa majú zriadiť na základe tejto smernice.
(77)
Členské štáty by mali mať možnosť
zriadiť viac ako jeden dozorný orgán, aby zohľadnili svoju ústavnú,
organizačnú a správnu štruktúru. Každému dozornému orgánu by sa mali
poskytnúť finančné a ľudské zdroje, priestory a infraštruktúra, ktoré sú
potrebné na účinné plnenie jeho úloh vrátane úloh, ktoré sa týkajú
vzájomnej pomoci a spolupráce s ostatnými dozornými orgánmi v rámci
Únie. Každý dozorný orgán by mal mať samostatný verejný ročný rozpočet,
ktorý môže byť súčasťou celkového štátneho alebo národného rozpočtu.
(78)
Dozorné orgány by mali podliehať
nezávislému kontrolnému alebo monitorovaciemu mechanizmu, pokiaľ ide
o ich finančné výdavky, a to za predpokladu, že takáto finančná kontrola
neovplyvní ich nezávislosť.
(79)
Všeobecné podmienky pre člena alebo
členov dozorného orgánu by sa mali stanoviť právom členského štátu, kde
by malo byť najmä stanovené, že týchto členov by mal vymenovať buď
parlament alebo vláda či hlava členského štátu na základe návrhu vlády
alebo člena vlády, alebo parlamentu či jeho komory, alebo nezávislý
subjekt, ktorý je právom členského štátu poverený ich vymenovať
transparentným postupom. S cieľom zabezpečiť nezávislosť dozorného
orgánu by mal člen alebo členovia konať bezúhonne, mali by sa zdržať
akéhokoľvek konania nezlučiteľného s ich povinnosťami a počas svojho
funkčného obdobia by nemali vykonávať žiadnu inú platenú ani neplatenú
pracovnú činnosť nezlučiteľnú s touto funkciou. Na zabezpečenie
nezávislosti dozorného orgánu by mal výber jeho personálu zabezpečiť
dozorný orgán, pričom do tohto výberu môže zasiahnuť nezávislý orgán
poverený právom členského štátu.
(80)
Hoci sa táto smernica vzťahuje aj na
činnosti vnútroštátnych súdov a iných justičných orgánov, právomoc
dozorných orgánov by sa nemala vzťahovať na spracúvanie osobných údajov
súdmi pri výkone ich súdnej právomoci, aby sa zaručila nezávislosť
sudcov pri výkone ich justičných úloh. Uvedená výnimka by sa mala
obmedzovať len na justičné činnosti v súdnych konaniach a nemala by sa
vzťahovať na iné činnosti, do ktorých môžu byť sudcovia zapojení
v súlade s právom členského štátu. Členské štáty by mali mať aj možnosť
stanoviť, že sa právomoc dozorného orgánu nevzťahuje na spracúvanie
osobných údajov iných nezávislých justičných orgánov pri výkone ich
justičných oprávnení, napríklad prokuratúry. V každom prípade
dodržiavanie pravidiel tejto smernice súdmi a inými nezávislými
justičnými orgánmi vždy podlieha nezávislému dozoru v súlade s článkom 8
ods. 3 charty.
(81)
Každý dozorný orgán by mal vybavovať
sťažnosti podané ktoroukoľvek dotknutou osobou a vyšetriť predmetnú
záležitosť alebo ju postúpiť príslušnému dozornému orgánu. Vyšetrovanie
na základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať
v rozsahu primeranom pre konkrétny prípad. Dozorný orgán by mal
v primeranej lehote informovať dotknutú osobu o priebehu vybavovania
sťažnosti a jeho výsledku. Ak si vec vyžaduje ďalšie vyšetrovanie alebo
koordináciu s iným dozorným orgánom, dotknutej osobe by sa mali
poskytnúť priebežné informácie.
(82)
S cieľom zabezpečiť účinné, spoľahlivé
a konzistentné monitorovanie súladu s touto smernicou a jej
presadzovanie v celej Únii v súlade so ZFEÚ podľa výkladu Súdneho dvora
by dozorné orgány mali mať vo všetkých členských štátoch rovnaké úlohy
a účinné právomoci vrátane vyšetrovacích, nápravných a poradenských
právomocí, ktoré predstavujú prostriedky potrebné na vykonávanie ich
úloh. Ich právomoci by však nemali zasahovať do konkrétnych pravidiel
trestného konania, vrátane vyšetrovania a stíhania trestných činov, ani
do nezávislosti súdnictva. Bez toho, aby boli dotknuté právomoci
vyšetrovacích orgánov podľa práva členského štátu, by dozorné orgány
mali mať aj právomoc upozorniť justičné orgány na porušovanie tejto
smernice alebo zúčastniť sa na súdnom konaní. Právomoci dozorných
orgánov by sa mali vykonávať v súlade s primeranými procesnými zárukami
stanovenými právom Únie a právom členského štátu, nestranne, spravodlivo
a v primeranej lehote. Predovšetkým by každé opatrenie malo byť vhodné,
potrebné a primerané vzhľadom na zabezpečenie súladu s touto smernicou,
berúc do úvahy okolnosti každého konkrétneho prípadu, malo by
rešpektovať právo každej osoby na vypočutie pred prijatím akéhokoľvek
individuálneho opatrenia, ktoré by mohlo mať nepriaznivé dôsledky pre
dotknutú osobu, a nemalo by jej spôsobovať zbytočné náklady
a neprimerané ťažkosti. Vyšetrovacie právomoci týkajúce sa prístupu do
priestorov by sa mali uplatňovať v súlade s osobitnými požiadavkami
stanovenými v práve členského štátu, ako je napríklad požiadavka
získania predchádzajúceho súdneho povolenia. Prijatie právne záväzného
rozhodnutia by malo podliehať súdnemu preskúmaniu v členskom štáte
dozorného orgánu, ktorý rozhodnutie prijal.
(83)
Dozorné orgány by si mali pri výkone
svojich úloh navzájom pomáhať a poskytovať vzájomnú pomoc s cieľom
zabezpečiť konzistentné uplatňovanie a presadzovanie ustanovení
prijatých podľa tejto smernice.
(84)
Výbor by mal prispievať ku
konzistentnému uplatňovaniu tejto smernice v celej Únii, a to aj
poskytovaním poradenstva Komisii a podporovaním spolupráce medzi
dozornými orgánmi v celej Únii.
(85)
Každá dotknutá osoba by mala mať právo
podať sťažnosť na jednom dozornom orgáne a mať v súlade s článkom 47
charty právo na účinný súdny prostriedok nápravy, ak sa domnieva, že
boli porušené jej práva podľa ustanovení prijatých podľa tejto smernice,
alebo ak dozorný orgán nereaguje na sťažnosť, čiastočne alebo v plnom
rozsahu ju zamietne, odmietne alebo nekoná v prípade, keď je takéto
konanie nevyhnutné na ochranu práv dotknutej osoby. Vyšetrovanie na
základe sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať
v rozsahu primeranom pre konkrétny prípad. Príslušný dozorný orgán by
mal dotknutú osobu v primeranej lehote informovať o pokroku pri
vybavovaní sťažnosti a o výsledku sťažnosti. Ak si vec vyžaduje ďalšie
vyšetrovanie alebo koordináciu s iným dozorným orgánom, dotknutej osobe
by sa mali poskytnúť priebežné informácie. Na účely uľahčenia podávania
sťažností by mal každý dozorný orgán prijať opatrenia, ako napríklad
poskytnúť formulár sťažnosti, ktorý je možné tiež vyplniť elektronicky,
nevylučujúc pritom iné prostriedky komunikácie.
(86)
Každá fyzická alebo právnická osoba by
mala mať právo podať na príslušnom vnútroštátnom súde účinný súdny
prostriedok nápravy voči rozhodnutiu dozorného orgánu, ktoré má voči
tejto osobe právne účinky. Takéto rozhodnutie sa týka najmä výkonu
vyšetrovacích, nápravných a povoľovacích právomocí dozorným orgánom
alebo odmietnutia sťažností či nevyhovenia sťažnostiam. Uvedené právo
však nezahŕňa ďalšie opatrenia dozorných orgánov, ktoré nie sú právne
záväzné, ako napríklad stanoviská alebo poradenstvo, ktoré poskytol
dozorný orgán. Návrh na začatie konania proti dozornému orgánu by sa mal
podávať na súdoch členského štátu, v ktorom má dozorný orgán sídlo,
pričom toto konanie by malo prebiehať v súlade s právom členského štátu.
Uvedené súdy by mali vykonávať plnú právomoc, ktorá by mala zahŕňať
právomoc preskúmať všetky skutkové a právne otázky, ktoré sú relevantné
pre daný spor.
(87)
Ak sa dotknutá osoba domnieva, že sa
jej práva podľa tejto smernice porušujú, mala by mať právo poveriť
subjekt, ktorého cieľom je ochrana práv a záujmov dotknutých osôb
v súvislosti s ochranou ich osobných údajov a ktorý je zriadený podľa
práva členského štátu, podať sťažnosť v jej mene na dozornom orgáne
a uplatniť právo na súdny prostriedok nápravy. Právom na zastupovanie
dotknutých osôb by nemalo byť dotknuté procesné právo členského štátu,
ktoré môže vyžadovať povinné zastupovanie dotknutých osôb právnikom, ako
sa vymedzuje v smernici Rady 77/249/EHS (10), pred vnútroštátnymi súdmi.
(88)
Prevádzkovateľ alebo akýkoľvek iný
orgán príslušný podľa práva členského štátu by mal nahradiť akúkoľvek
škodu, ktorú určitá osoba utrpela v dôsledku spracúvania, ktoré je
v rozpore s ustanoveniami prijatými podľa tejto smernice. Podľa
judikatúry Súdneho dvora by sa mal pojem škody vykladať v širokom zmysle
spôsobom, ktorý v plnej miere zohľadňuje ciele tejto smernice. Týmto
nie sú dotknuté žiadne nároky na náhradu škody vyplývajúce z porušenia
iných pravidiel stanovených v práve Únie alebo v práve členského štátu.
Keď sa odkazuje na spracúvanie, ktoré je nezákonné alebo ktoré porušuje
ustanovenia prijaté na základe tejto smernice, zahŕňa to aj spracúvanie,
ktoré je v rozpore s vykonávacími aktmi prijatými podľa tejto smernice.
Dotknuté osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.
(89)
Sankcie by sa mali ukladať akejkoľvek
fyzickej alebo právnickej osobe, ktorá koná v rozpore s touto smernicou,
bez ohľadu na to, či sa na ňu vzťahuje súkromné alebo verejné právo.
Členské štáty by mali zabezpečiť, aby boli sankcie účinné, primerané
a odrádzajúce, a mali by prijať všetky opatrenia na vykonávanie sankcií.
(90)
S cieľom zabezpečiť jednotné podmienky
vykonávania tejto smernice by sa mali na Komisiu preniesť vykonávacie
právomoci, pokiaľ ide o primeranú úroveň ochrany poskytovanú treťou
krajinou, územím alebo určeným sektorom v tretej krajine alebo
medzinárodnou organizáciou, a formát a postupy vzájomnej pomoci
a zabezpečenie výmeny informácií elektronickými prostriedkami medzi
dozornými orgánmi navzájom a medzi dozornými orgánmi a Výborom. Uvedené
právomoci by sa mali vykonávať v súlade s nariadením Európskeho
parlamentu a Rady (EÚ) č. 182/2011 (11).
(91)
Na prijímanie vykonávacích aktov
o primeranej úrovni ochrany poskytovanej treťou krajinou, územím alebo
určeným sektorom v tretej krajine alebo medzinárodnou organizáciou
a o formáte a postupoch vzájomnej pomoci a zabezpečení výmeny informácií
elektronickými prostriedkami medzi dozornými orgánmi navzájom a medzi
dozornými orgánmi a Výborom by sa mal vzhľadom na všeobecnú pôsobnosť
uvedených aktov uplatňovať postup preskúmania.
(92)
Komisia by mala prijať okamžite
uplatniteľné vykonávacie akty, ak sa to vyžaduje z vážnych a naliehavých
dôvodov v riadne odôvodnených prípadoch týkajúcich sa tretej krajiny,
územia alebo určeného sektora v tretej krajine alebo medzinárodnej
organizácie, ktoré už nezaručujú primeranú úroveň ochrany.
(93)
Keďže ciele tejto smernice, a to
ochrana základných práv a slobôd dotknutých osôb a predovšetkým ich
práva na ochranu osobných údajov, ako aj zabezpečenie voľnej výmeny
osobných údajov medzi príslušnými orgánmi v rámci Únie nie je možné
uspokojivo dosiahnuť na úrovni samotných členských štátov, ale z dôvodov
rozsahu a dôsledkov činnosti ich možno lepšie dosiahnuť na úrovni Únie,
môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa
článku 5 ZEÚ. V súlade so zásadou proporcionality podľa uvedeného článku
táto smernica neprekračuje rámec nevyhnutný na dosiahnutie týchto
cieľov.
(94)
Osobitné ustanovenia aktov Únie
prijatých v oblasti justičnej spolupráce v trestných veciach
a policajnej spolupráce, ktoré boli prijaté pred dátumom prijatia tejto
smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými
štátmi alebo prístup určených orgánov členských štátov do informačných
systémov zriadených podľa zmlúv, by mali zostať nedotknuté; ide
napríklad o osobitné ustanovenia o ochrane osobných údajov uplatňované
podľa rozhodnutia Rady 2008/615/SVV (12) alebo podľa článku 23 Dohovoru o vzájomnej pomoci v trestných veciach medzi členskými štátmi Európskej únie (13).
Keďže v článku 8 charty a v článku 16 ZFEÚ sa požaduje, aby sa základné
právo na ochranu osobných údajov zabezpečilo konzistentne v celej Únii,
Komisia by mala zhodnotiť situáciu, pokiaľ ide o vzťah medzi touto
smernicou a aktmi, ktoré boli prijaté pred dátumom prijatia tejto
smernice a ktoré upravujú spracúvanie osobných údajov medzi členskými
štátmi a prístup určených orgánov členských štátov do informačných
systémov zriadených podľa zmlúv, s cieľom posúdiť potrebu zosúladenia
týchto osobitných ustanovení s touto smernicou. Komisia by podľa potreby
mala predložiť návrhy zamerané na zabezpečenie konzistentných právnych
predpisov týkajúcich sa spracúvania osobných údajov.
(95)
S cieľom zabezpečiť komplexnú
a konzistentnú ochranu osobných údajov v Únii by medzinárodné dohody,
ktoré uzavreli členské štáty pred dátumom nadobudnutia účinnosti tejto
smernice a ktoré sú v súlade s príslušným právom Únie uplatniteľnými
pred uvedeným dátumom, mali zostať v platnosti, kým nebudú zmenené,
nahradené alebo zrušené.
(96)
Členským štátom by sa malo na
transpozíciu tejto smernice poskytnúť obdobie nepresahujúce dva roky od
dátumu nadobudnutia jej účinnosti. Spracúvanie, ktoré už prebieha
k uvedenému dátumu, by sa malo zosúladiť s touto smernicou do dvoch
rokov odo dňa nadobudnutia účinnosti tejto smernice. Ak je však takéto
spracúvanie v súlade s právom Únie uplatniteľným pred dátumom
nadobudnutia účinnosti tejto smernice, požiadavky tejto smernice
týkajúce sa predchádzajúcej konzultácie s dozorným orgánom by sa nemali
uplatňovať na spracovateľské operácie, ktoré už prebiehajú k uvedenému
dátumu, a to vzhľadom na to, že tieto požiadavky by sa v dôsledku svojej
povahy mali splniť pred spracúvaním. Ak členské štáty použijú dlhšiu
lehotu na vykonanie, ktorá uplynie sedem rokov po dátume nadobudnutia
účinnosti tejto smernice, prevádzkovateľ alebo sprostredkovateľ by mal
mať na splnenie povinností v oblasti logovania pri systémoch
automatizovaného spracúvania vytvorených pred uvedeným dátumom zavedené
účinné metódy na preukázanie zákonnosti spracúvania údajov, na umožnenie
vlastného monitorovania a na zabezpečenie integrity a bezpečnosti
údajov, ako sú napríklad logy alebo iné formy záznamov.
(97)
Touto smernicou nie sú dotknuté
pravidlá týkajúce sa boja proti sexuálnemu zneužívaniu a sexuálnemu
vykorisťovaniu detí a šíreniu detskej pornografie stanovené v smernici
Európskeho parlamentu a Rady 2011/93/EÚ (14).
(98)
Rámcové rozhodnutie 2008/977/SVV by sa preto malo zrušiť.
(99)
V súlade s článkom 6a Protokolu č. 21
o postavení Spojeného kráľovstva a Írska s ohľadom na priestor slobody,
bezpečnosti a spravodlivosti, ktorý je pripojený k ZEÚ a ZFEÚ, tieto
členské štáty nie sú viazané pravidlami stanovenými v tejto smernici,
ktoré sa týkajú spracúvania osobných údajov členskými štátmi pri
vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti
hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, ak tieto členské štáty nie sú
viazané pravidlami, ktorými sa spravujú formy justičnej spolupráce
v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa
musia dodržiavať ustanovenia prijaté na základe článku 16 ZFEÚ.
(100)
V súlade s článkami 2 a 2a Protokolu
č. 22 o postavení Dánska, ktorý je pripojený k ZEÚ a ZFEÚ, nie je Dánsko
viazané pravidlami stanovenými v tejto smernici, ktoré sa týkajú
spracúvania osobných údajov členskými štátmi pri vykonávaní činností,
ktoré patria do pôsobnosti kapitoly 4 alebo kapitoly 5 hlavy V tretej
časti ZFEÚ, ani nepodlieha ich uplatňovaniu. Vzhľadom na to, že táto
smernica je založená na schengenskom acquis
podľa tretej časti hlavy V ZFEÚ, Dánsko v súlade s článkom 4 uvedeného
protokolu do šiestich mesiacov odo dňa prijatia tejto smernice rozhodne,
či ju bude transponovať do svojho vnútroštátneho práva.
(101)
Pokiaľ ide o Island a Nórsko, táto smernica predstavuje vývoj ustanovení schengenského acquis
v zmysle Dohody uzavretej medzi Radou Európskej únie a Islandskou
republikou a Nórskym kráľovstvom o pridružení Islandskej republiky
a Nórskeho kráľovstva pri vykonávaní, uplatňovaní a rozvoji
schengenského acquis
(15).
(102)
Pokiaľ ide o Švajčiarsko, táto smernica predstavuje vývoj ustanovení schengenského acquis
v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom
a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie
k vykonávaniu, uplatňovaniu a vývoju schengenského acquis
(16).
(103)
Pokiaľ ide o Lichtenštajnsko, táto smernica predstavuje vývoj ustanovení schengenského acquis
v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom,
Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení
Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym
spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej
konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis
(17).
(104)
Táto smernica rešpektuje základné práva
a dodržiava zásady uznané v charte, ako sú zakotvené v ZFEÚ, najmä
právo na rešpektovanie súkromného a rodinného života, právo na ochranu
osobných údajov, právo na účinný prostriedok nápravy a na spravodlivý
proces. Obmedzenia vzťahujúce sa na uvedené práva sú v súlade s
článkom 52 ods. 1 charty, keďže sú potrebné na splnenie cieľov
všeobecného záujmu uznaných Úniou alebo potrebné na ochranu práv
a slobôd iných.
(105)
V súlade so spoločným politickým
vyhlásením členských štátov a Komisie z 28. septembra 2011
o vysvetľujúcich dokumentoch sa členské štáty zaviazali, že
v odôvodnených prípadoch k svojim oznámeniam o transpozičných
opatreniach pripoja jeden alebo viacero dokumentov vysvetľujúcich vzťah
medzi prvkami smernice a zodpovedajúcimi časťami vnútroštátnych
transpozičných nástrojov. V súvislosti s touto smernicou sa zákonodarca
domnieva, že zasielanie takýchto dokumentov je odôvodnené.
(106)
S európskym dozorným úradníkom pre
ochranu údajov sa konzultovalo v súlade s článkom 28 ods. 2 nariadenia
(ES) č. 45/2001 a 7. marca 2012 európsky dozorný úradník pre ochranu
údajov vydal stanovisko (18).
(107)
Táto smernica by nemala členským štátom
brániť v tom, aby implementovali výkon práv dotknutých osôb na
informácie, prístup a opravu alebo vymazanie osobných údajov
a obmedzenie spracúvania počas trestného konania, ako aj prípadné
obmedzenia týchto práv do vnútroštátnych pravidiel týkajúcich sa
trestného práva procesného,
PRIJALI TÚTO SMERNICU:
