Další
Navigace
KAPITOLA I Obecná ustanovení (1-4)
Článek 1. Předmět a cíleČlánek 2. Věcná působnostČlánek 3. Místní působnostČlánek 4. Definice
KAPITOLA II Zásady (5-11)
Článek 5. Zásady zpracování osobních údajůČlánek 6. Zákonnost zpracováníČlánek 7. Podmínky vyjádření souhlasuČlánek 8. Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnostiČlánek 9. Zpracování zvláštních kategorií osobních údajůČlánek 10. Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činůČlánek 11. Zpracování, které nevyžaduje identifikaci
KAPITOLA III Práva subjektu údajů (12-23)
Článek 12. Transparentní informace, sdělení a postupy pro výkon práv subjektu údajůČlánek 13. Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajůČlánek 14. Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajůČlánek 15. Právo subjektu údajů na přístup k osobním údajůmČlánek 16. Právo na opravuČlánek 17. Právo na výmaz („právo být zapomenut“)Článek 18. Právo na omezení zpracováníČlánek 19. Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracováníČlánek 20. Právo na přenositelnost údajůČlánek 21. Právo vznést námitkuČlánek 22. Automatizované individuální rozhodování, včetně profilováníČlánek 23. Omezení
KAPITOLA IV Správce a zpracovatel (24-43)
Článek 24. Předmět a cíleČlánek 25. Záměrná a standardní ochrana osobních údajůČlánek 26. Společní správciČlánek 27. Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v UniiČlánek 28. ZpracovatelČlánek 29. Zpracování z pověření správce nebo zpracovateleČlánek 30. Záznamy o činnostech zpracováníČlánek 31. Spolupráce s dozorovým úřademČlánek 32. Zabezpečení zpracováníČlánek 33. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřaduČlánek 34. Oznamování případů porušení zabezpečení osobních údajů subjektu údajůČlánek 35. Posouzení vlivu na ochranu osobních údajů
Článek 36. Předchozí konzultace
Článek 37. Jmenování pověřence pro ochranu osobních údajůČlánek 38. Postavení pověřence pro ochranu osobních údajůČlánek 39. Úkoly pověřence pro ochranu osobních údajůČlánek 40. Kodexy chováníČlánek 41. Monitorování schválených kodexů chováníČlánek 42. Vydávání osvědčeníČlánek 43. Subjekty pro vydávání osvědčení
KAPITOLA V Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím (44-50)
Článek 44. Obecná zásada pro předáváníČlánek 45. Předání založené na rozhodnutí o odpovídající ochraněČlánek 46. Předávání založené na vhodných zárukáchČlánek 47. Závazná podniková pravidlaČlánek 48. Předání či zveřejnění údajů nepovolená právem UnieČlánek 49. Výjimky pro specifické situaceČlánek 50. Mezinárodní spolupráce v zájmu ochrany osobních údajů
KAPITOLA VI Nezávislé dozorové úřady (51-59)
Článek 51. Dozorový úřadČlánek 52. NezávislostČlánek 53. Obecné podmínky pro členy dozorového úřaduČlánek 54. Pravidla pro zřízení dozorového úřaduČlánek 55. PříslušnostČlánek 56. Příslušnost vedoucího dozorového úřaduČlánek 57. ÚkolyČlánek 58. PravomociČlánek 59. Zprávy o činnosti
KAPITOLA VII Spolupráce a jednotnost (60-70)
Článek 60. Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřadyČlánek 61. Vzájemná pomocČlánek 62. Společné postupy dozorových úřadůČlánek 63. Mechanismus jednotnostiČlánek 64. Stanovisko sboruČlánek 65. Řešení sporů sboremČlánek 66. Postup pro naléhavé případyČlánek 67. Výměna informacíČlánek 68. Evropský sbor pro ochranu osobních údajůČlánek 69. NezávislostČlánek 70. Úkoly sboruČlánek 71. ZprávyČlánek 72. PostupČlánek 73. PředsedaČlánek 74. Úkoly předsedyČlánek 75. SekretariátČlánek 76. Důvěrnost
KAPITOLA VIII Právní ochrana, odpovědnost a sankce (77-84)
Článek 77. Právo podat stížnost u dozorového úřaduČlánek 78. Právo na účinnou soudní ochranu vůči dozorovému úřaduČlánek 79. Právo na účinnou soudní ochranu vůči správci nebo zpracovateliČlánek 80. Zastupování subjektů údajůČlánek 81. Přerušení řízeníČlánek 82. Právo na náhradu újmy a odpovědnostČlánek 83. Obecné podmínky pro ukládání správních pokutČlánek 84. Sankce
KAPITOLA IX Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování (85-91)
Článek 85. Zpracování a svoboda projevu a informacíČlánek 86. Zpracování a přístup veřejnosti k úředním dokumentůmČlánek 87. Zpracování národních identifikačních číselČlánek 88. Zpracování v souvislosti se zaměstnánímČlánek 89. Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účelyČlánek 90. Povinnost mlčenlivostiČlánek 91. Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími
KAPITOLA X Akty v přenesené pravomoci a prováděcí akty (92-93)
Článek 92. Výkon přenesené pravomociČlánek 93. Postupy projednávání ve výboru
KAPITOLA XI Závěrečná ustanovení (94-95)
Článek 94. Zrušení směrnice 95/46/ESČlánek 95. Vztah ke směrnici 2002/58/ESČlánek 96. Vztah k dříve uzavřeným dohodámČlánek 97. Zprávy KomiseČlánek 98. Přezkum jiných právních aktů Unie v oblasti ochrany údajůČlánek 99. Vstup v platnost a použitelnost
ONOOÚ (GDPR) > Článek 36. Předchozí konzultace
Stáhnout

Článek 36 ONOOÚ (GDPR). Předchozí konzultace

Article 36 GDPR. Prior consultation

1. Správce konzultuje před zpracováním s dozorovým úřadem, pokud z posouzení vlivu na ochranu osobních údajů podle článku 35 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.

1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

Související texty
Související texty

2. Pokud se dozorový úřad domnívá, že by zamýšlené zpracování uvedené v odstavci 1 porušilo toto nařízení, zejména pokud správce nedostatečně určil či zmírnil riziko, upozorní na to správce a případně zpracovatele údajů písemně ve lhůtě nejvýše osmi týdnů od obdržení žádosti o konzultaci a může uplatnit kteroukoli ze svých pravomocí uvedených v článku 58. Tato lhůta může být s ohledem na složitost zamýšleného zpracování prodloužena o šest týdnů. Dozorový úřad informuje správce a případně zpracovatele o každém takovém prodloužení a o jeho důvodech do jednoho měsíce od obdržení žádosti o konzultaci. Tyto lhůty mohou být pozastaveny, dokud dozorový úřad neobdrží veškeré informace, o které požádal pro účely konzultace.

2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation.

Související texty
Související texty

3. Při konzultaci s dozorovým úřadem podle odstavce 1 mu správce poskytne informace o těchto aspektech:

3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with:

a) ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování, zejména v případě zpracování v rámci skupiny podniků;

(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings;

b) účely a způsoby zamýšleného zpracování;

(b) the purposes and means of the intended processing;

c) opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;

d) kontaktní údaje případného pověřence pro ochranu osobních údajů;

(d) where applicable, the contact details of the data protection officer;

e) posouzení vlivu na ochranu osobních údajů podle článku 35 a

(e) the data protection impact assessment provided for in Article 35; and

Související texty
Související texty

f) veškeré další informace, o které dozorový úřad požádá.

(f) any other information requested by the supervisory authority.

4. Členské státy konzultují s dozorovým úřadem během přípravy návrhu legislativního opatření, které má přijmout vnitrostátní parlament, nebo návrhu regulačního opatření založeného na takovém legislativním opatření, jež souvisí se zpracováním.

4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing.

5. Bez ohledu na odstavec 1 může právo členského státu od správců vyžadovat, aby konzultovali s dozorovým úřadem a získali od něj předchozí povolení, pokud jde o zpracování správcem za účelem vykonání úkolu ve veřejném zájmu, včetně zpracování v souvislosti se sociální ochranou a veřejným zdravím.

5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health.

Obecné nařízení o ochraně osobních údajů (ONOOÚ, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Body odůvodnění Zanechat komentář
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 36 GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Body odůvodnění

(94) Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by zpracování v případě, že neexistují záruky, bezpečnostní opatření ani mechanismy ke zmenšení rizika, představovalo vysoké riziko pro práva a svobody fyzických osob, a pokud je správce toho názoru, že riziko nelze zmenšit prostředky přiměřenými z hlediska dostupných technologií a nákladů na provedení, je třeba před zahájením zpracování konzultovat s dozorovým úřadem. Je pravděpodobné, že toto vysoké riziko vznikne v souvislosti s určitým typem zpracování a rozsahem a četností zpracování, což rovněž může vést ke vzniku škody nebo zásahu do práv a svobod dotčené fyzické osoby. Dozorový úřad by měl na žádost o konzultaci reagovat ve stanovené lhůtě. Skutečností, že dozorový úřad v této lhůtě nezareaguje, by však neměl být dotčen žádný zásah tohoto úřadu prováděný v souladu s jeho úkoly a pravomocemi stanovenými v tomto nařízení, včetně pravomoci zakázat operace zpracování. V rámci tohoto procesu konzultací může být výsledek posouzení vlivu na ochranu osobních údajů, které bylo provedeno v souvislosti s daným zpracováním, předložen dozorovému úřadu, zejména zamýšlená opatření ke zmírnění rizika pro práva a svobody fyzických osob.

(94) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.

(95) Zpracovatel by měl být v případě potřeby a na požádání správci nápomocen při zajišťování dodržování povinností vyplývajících z provádění posouzení vlivu na ochranu osobních údajů a z předchozí konzultace s dozorovým úřadem.

(95) The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority.

(96) V průběhu příprav legislativního nebo regulačního opatření, jímž bude stanoveno zpracování osobních údajů, by měl být rovněž konzultován dozorový úřad, aby byl zajištěn soulad zamýšleného zpracování s tímto nařízením, a zejména zmírněno související riziko pro subjekt údajů.

(96) A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject.

Zanechat komentář
[js-disqus]