Postupak : 2012/0011(COD)
Faze dokumenta na plenarnoj sjednici
Odabrani dokument : A7-0402/2013

Podneseni tekstovi :

A7-0402/2013

Rasprave :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Glasovanja :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Doneseni tekstovi :


IZVJEŠĆE     ***I
PDF 3253kWORD 3940k
22. studenog 2013.
PE 501.927v01-00 A7-0402/2013

o prijedlogu Uredbe Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Odbor za građanske slobode, pravosuđe i unutarnje poslove

Izvjestitelj: Jan Philipp Albrecht

AMANDMANI
NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA
 EXPLANATORY STATEMENT
 OPINION of the Committee on Employment and Social Affairs
 OPINION of the Committee on Industry, Research and Energy
 OPINION of the Committee on the Internal Market and Consumer Protection
 OPINION of the Committee on Legal Affairs
 POSTUPAK

NACRT ZAKONODAVNE REZOLUCIJE EUROPSKOG PARLAMENTA

o prijedlogu Uredbe Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Redovni zakonodavni postupak: prvo čitanje)

Europski parlament,

–   uzimajući u obzir prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2012)0011),

–   uzimajući u obzir članak 294. stavak 2. i članke 16. Stavak 2. i 114. Stavak 1. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela prijedlog Parlamentu (C7-0025/2012),

–   uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije,

–   uzimajući u obzir obrazložena mišljenja belgijskog Zastupničkog doma, njemačkog Saveznog vijeća – Bundesrata, francuskog Senata, talijanskog Zastupničkog doma i Švedskog parlamenta, podnesena u okviru protokola br. 2 o primjeni načela supsidijarnosti i proporcionalnosti, u kojima se izjavljuje da nacrt zakonodavnog akta nije u skladu s načelom supsidijarnosti,

–   uzimajući u obzir mišljenje Europskog gospodarskog i socijalnog odbora od 23. svibnja 2012(1),

–   nakon savjetovanja s Odborom regija,

–   uzimajući u obzir mišljenje Europskog nadzornika za zaštitu podataka od 7. ožujka 2012.,

–   uzimajući u obzir mišljenje Agencije Europske unije za temeljna prava od 1. listopada 2012.;

–   uzimajući u obzir članak 55. Poslovnika,

–   uzimajući u obzir izvješće Odbora za građanske slobode, pravosuđe i unutarnje poslove i mišljenja Odbora za zapošljavanje i socijalna pitanja, Odbora za industriju, istraživanje i energetiku i Odbora za unutarnje tržište i zaštitu potrošača (A7-0402/2013),

1.  usvaja sljedeće stajalište u prvom čitanju;

2.  traži od Komisije da predmet ponovno uputi Parlamentu ako namjerava bitno izmijeniti svoj prijedlog ili ga zamijeniti drugim tekstom;

3.  nalaže svojem predsjedniku da stajalište Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima.

Amandman               1

Prijedlog Uredbe

Uvodna izjava 14.

Tekst koji je predložila Komisija

Izmjena

(14) U ovoj Uredbi ne obrađuju se pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka podataka vezana uz aktivnosti koje nisu u području primjene zakonodavstva Unije, niti osobni podaci koje obrađuju institucije, tijela, uredi i agencije Unije, a za koje je mjerodavna Uredba (EZ) br. 45/200144, niti osobni podaci koje obrađuju države članice pri obavljanju aktivnosti povezanih sa zajedničkom vanjskom i sigurnosnom politikom Unije.

(14) U ovoj Uredbi ne obrađuju se pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka podataka vezana uz aktivnosti koje nisu u području primjene zakonodavstva Unije. Uredbu (EZ) br. 45/2001 Europskog parlamenta i Vijeća trebalo bi uskladiti s ovom Uredbom i primijeniti u skladu s ovom Uredbom.

____________

______________

SL L 8, 12. 1. 2001., str. 1.

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom protoku takvih podataka (SL L 8, 12.1.2001, str. 1).

Amandman  2

Prijedlog Uredbe

Uvodna izjava 15.

Tekst koji je predložila Komisija

Izmjena

(15) Ova se Uredba ne bi trebala odnositi na obradu osobnih podataka koju provodi fizička osoba, koja je isključivo osobne ili obiteljske naravi, kao što je dopisivanje i vođenje evidencije adresata, bez financijskog interesa i koja stoga nije povezana s profesionalnom ili gospodarskom djelatnošću. Izuzeće se ne bi trebalo primjenjivati i na nadzornike ili obrađivače koji osiguravaju sredstva za obradu osobnih podataka za takve osobne ili obiteljske aktivnosti.

(15) Ova se Uredba ne bi trebala odnositi na obradu osobnih podataka koju provodi fizička osoba, koja je isključivo osobne, porodične ili obiteljske naravi, kao što je dopisivanje i vođenje evidencije adresata ili privatna prodaja i koja nije povezana s profesionalnom ili gospodarskom djelatnošću. Međutim ova Uredba trebala bi se primjenjivati na nadzornike i obrađivače koji osiguravaju sredstva za obradu osobnih podataka za takve osobne ili obiteljske aktivnosti.

Amandman  3

Prijedlog Uredbe

Uvodna izjava 18.

Tekst koji je predložila Komisija

Izmjena

(18) Direktive. Ovom Uredbom omogućuje se poštovanje načela javnog pristupa službenim dokumentima kod primjene odredbi utvrđenih ovom Uredbom.

(18) Direktive. Ovom Uredbom omogućuje se poštovanje načela javnog pristupa službenim dokumentima kod primjene odredbi utvrđenih ovom Uredbom. Osobne podatke u dokumentima koje posjeduje javna ustanova ili javno tijelo ta ustanova ili to tijelo mogu otkriti u skladu sa zakonodavstvom Unije ili države članice o javnom pristupu službenim dokumentima koje usklađuje pravo na zaštitu podataka s pravom javnog pristupa službenim dokumentima i predstavlja poštenu ravnotežu različitih uključenih interesa.

Amandman  4

Prijedlog Uredbe

Uvodna izjava 20.

Tekst koji je predložila Komisija

Izmjena

(20) Kako bi se osiguralo da pojedinci nisu uskraćeni za zaštitu na koju imaju pravo u skladu s ovom Uredbom, obrada osobnih podataka osoba s boravištem u Uniji koju provodi nadzornik koji nema poslovni nastan u Uniji trebala bi biti utvrđena ovom Uredbom, ako su aktivnosti obrade povezane s ponudom proizvoda ili usluga dotičnim osobama ili s praćenjem njihova ponašanja.

(20) Kako bi se osiguralo da pojedinci nisu uskraćeni za zaštitu na koju imaju pravo u skladu s ovom Uredbom, obrada osobnih podataka osoba s boravištem u Uniji koju provodi nadzornik koji nema poslovni nastan u Uniji trebala bi biti utvrđena ovom Uredbom, ako su aktivnosti obrade povezane s ponudom proizvoda ili usluga, neovisno o tome jesu li povezane uz plaćanje ili ne, dotičnim osobama ili s praćenjem njihova ponašanja. Kako bi se utvrdilo nudi li takav nadzornik robu ili usluge takvim osobama čiji se podaci obrađuju u Uniji, potrebno je provjeriti može li se zaključiti da nadzornik namjerava ponuditi usluge osobama čiji se podaci obrađuju koje imaju boravište u jednoj od država članica Unije ili u više njih.

Amandman  5

Prijedlog Uredbe

Uvodna izjava 21.

Tekst koji je predložila Komisija

Izmjena

(21) Kako bi se ustanovilo može li se smatrati da se aktivnošću obrade „prati ponašanje osoba čiji se podaci obrađuju”, trebalo bi se provjeriti može li se pojedince pratiti na internetu tehnikama obrade podataka koje se sastoje od „profiliranja” pojedinca, pogotovo s ciljem donošenja odluka koje se tiču njega ili analize ili predviđanja njegovih sklonosti, ponašanja i stavova.

(21) Kako bi se ustanovilo može li se smatrati da se aktivnošću obrade „prate” osobe čiji se podaci obrađuju, trebalo bi se provjeriti može li se pojedince pratiti, bez obzira na porijeklo podataka, ili jesu li o njima prikupljeni drugi podaci, uključujući one iz javnih evidencija i objava u Uniji kojima se može pristupiti i izvan Unije, uključujući one s namjerom upotrebe ili mogućnosti naknadne upotrebe tehnika obrade podataka koje se sastoje od „profiliranja”, pogotovo s ciljem donošenja odluka koje se tiču dotičnog pojedinca ili analize ili predviđanja njegovih sklonosti, ponašanja i stavova.

Amandman  6

Prijedlog Uredbe

Uvodna izjava 23.

Tekst koji je predložila Komisija

Izmjena

(23) Načela zaštite trebalo bi primjenjivati na bilo koju informaciju koja se odnosi na identificiranu osobu ili osobu koju se može identificirati. Kako bi se utvrdilo može li se osobu identificirati, trebalo bi uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti da utvrdi identitet navedene osobe. Načela zaštite podataka ne bi trebalo primjenjivati na podatke koji su anonimni tako da se osoba čiji se podaci obrađuju više ne može identificirati.

(23) Načela zaštite podataka treba primjenjivati na bilo koju informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koju se može identificirati. Kako bi se utvrdilo može li se osobu identificirati, trebalo bi uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti da izravno ili neizravno utvrdi ili izdvoji identitet navedene osobe. Kako bi se provjerilo mogu li se sredstva opravdano koristiti da se utvrdi identitet navedene osobe, treba uzeti u obzir sve objektivne činitelje kao što su troškovi i vrijeme potrebni za utvrđivanje identiteta, uzimajući u obzir tehnologiju raspoloživu u trenutku obrade i tehnološki razvoj. Načela zaštite podataka stoga ne bi trebalo primjenjivati na anonimne podatke koji su informacija koja se ne odnosi na identificiranu fizičku osobu ili fizičku osobu koju se može identificirati. Ova Uredba stoga se ne odnosi na obradu takvih anonimnih podataka, uključujući obradu u statističke i istraživačke svrhe.

Amandman  7

Prijedlog Uredbe

Uvodna izjava 24.

Tekst koji je predložila Komisija

Izmjena

(24) Pri korištenju mrežnim uslugama pojedince se može povezati s mrežnim identifikatorima kao što su adrese internetskog protokola ili identifikatori kolačića, a koje sadrže njihovi uređaji, aplikacije, alati i protokoli. To može ostaviti tragove koji se, zajedno s jedinstvenim identifikatorima i drugim informacijama koje dostavljaju poslužitelji, mogu upotrijebiti za identificiranje i profiliranje pojedinaca. Iz stoga slijedi da identifikacijske brojeve, podatke o lokaciji, mrežne identifikatore ili druge posebne elemente kao takve ne treba nužno u svim okolnostima smatrati osobnim podacima.

(24) Ova Uredba trebala bi biti primjenjiva na obradu koja uključuje identifikatore kao što su adrese internetskog protokola, identifikatori kolačića i tagovi za radiofrekventnu identifikaciju, a koje sadrže uređaji, aplikacije, alati i protokoli, osim ako se ti identifikatori ne odnose na neku identificiranu fizičku osobu ili fizičku osobu koju se može identificirati.

Amandman  8

Prijedlog Uredbe

Uvodna izjava 25.

Tekst koji je predložila Komisija

Izmjena

(25) Suglasnost bi izričito trebalo dati bilo kojom odgovarajućom metodom kojom se omogućava da osoba čiji se podaci obrađuju dobrovoljno i na temelju informacija da posebnu izjavu svoje volje, tj. kojom se osigurava da je pojedinac svjestan da svojom izjavom ili jasnim postupkom potvrde daje svoju suglasnost za obradu osobnih podataka, uključujući označavanjem polja na internetskoj stranici ili bilo kojom drugom izjavom ili ponašanjem kojim se jasno pokazuje da osoba čiji se podaci obrađuju prihvaća predloženu obradu svojih osobnih podataka. Šutnja ili neaktivnost stoga ne bi trebali značiti suglasnost. Suglasnost bi trebala obuhvaćati sve aktivnosti obrade koje se provode u istu svrhu ili svrhe. Ako osoba čiji se podaci obrađuju daje suglasnost na temelju elektroničkog zahtjeva, taj zahtjev mora biti jasan i sažet, tako da se njime ne ometa korištenje usluge za koju se on upotrebljava.

(25) Suglasnost bi izričito trebalo dati bilo kojom odgovarajućom metodom kojom se omogućava da osoba čiji se podaci obrađuju dobrovoljno i na temelju informacija da posebnu izjavu svoje volje, tj kojom se osigurava da je pojedinac svjestan da svojom izjavom ili jasnim postupkom potvrde koji je rezultat izbora daje svoju suglasnost za obradu osobnih podataka. Jasan postupak potvrde može uključivati označavanje polja na internetskoj stranici ili bilo koju drugu izjavu ili ponašanje kojim se jasno pokazuje da osoba čiji se podaci obrađuju prihvaća predloženu obradu svojih osobnih podataka. Šutnja, puko korištenje usluge ili neaktivnost stoga ne bi trebali značiti suglasnost. Suglasnost bi trebala obuhvaćati sve aktivnosti obrade koje se provode u istu svrhu ili svrhe. Ako osoba čiji se podaci obrađuju daje suglasnost na temelju elektroničkog zahtjeva, taj zahtjev mora biti jasan i sažet, tako da se njime ne ometa korištenje usluge za koju se on upotrebljava.

Amandman  9

Prijedlog Uredbe

Uvodna izjava 29.

Tekst koji je predložila Komisija

Izmjena

(29) Djeci je potrebna posebna zaštita njihovih osobnih podataka, s obzirom na to da mogu biti manje svjesna rizika i posljedica te manje upoznata s mjerama zaštite i svojim pravima pri obradi osobnih podataka. Kako bi se utvrdilo kad se pojedinac smatra djetetom, u ovoj bi se Uredbi trebala preuzeti definicija utvrđena Konvencijom UN-a o pravima djeteta.

(29) Djeci je potrebna posebna zaštita njihovih osobnih podataka, s obzirom na to da mogu biti manje svjesna rizika i posljedica te manje upoznata s mjerama zaštite i svojim pravima pri obradi osobnih podataka. Ako se obrada podataka temelji na suglasnosti osobe čiji se podaci obrađuju u odnosu na ponudu robe ili usluga izravno djetetu, suglasnost daje ili odobrava djetetov roditelj ili zakonski skrbnik ako dijete ima manje od 13 godina. Ako su ciljana publika djeca, koristi se jezik primjeren toj dobi. Drugi razlozi za zakonitu obradu kao što su razlozi od javnog interesa ostaju primjenjivi, primjerice za obradu u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu.

Amandman  10

Prijedlog Uredbe

Uvodna izjava 31.

Tekst koji je predložila Komisija

Izmjena

(31) Kako bi obrada bila zakonita, osobni podaci trebali bi se obrađivati na temelju suglasnosti dotične osobe ili na nekoj drugoj legitimnoj osnovi, zakonski utvrđenoj bilo ovom Uredbom ili drugim zakonodavstvom Unije ili države članice, kako je navedeno u ovoj Uredbi.

(31) Kako bi obrada bila zakonita, osobni podaci trebali bi se obrađivati na temelju suglasnosti dotične osobe ili na nekoj drugoj legitimnoj osnovi, zakonski utvrđenoj bilo ovom Uredbom ili drugim zakonodavstvom Unije ili države članice, kako je navedeno u ovoj Uredbi. U slučaju djeteta ili osobe koja nema pravnu sposobnost, relevantno zakonodavstvo Unije ili države članice određuje uvjete pod kojima ta osoba daje ili odobrava pristanak.

Amandman  11

Prijedlog Uredbe

Uvodna izjava 32.

Tekst koji je predložila Komisija

Izmjena

(32) Kada se obrada temelji na suglasnosti osobe čiji se podaci obrađuju, nadzornik bi trebao snositi odgovornost dokazivanja da je dotična osoba dala svoju suglasnost za postupak obrade. Osobito u slučaju pisane izjave o drugom pitanju, mjerama zaštite trebalo bi se osigurati da je osoba čiji se podaci obrađuju svjesna toga da daje svoju suglasnost i u kojoj mjeri to čini.

(32) Kada se obrada temelji na suglasnosti osobe čiji se podaci obrađuju, nadzornik bi trebao snositi odgovornost dokazivanja da je dotična osoba dala svoju suglasnost za postupak obrade. Osobito u slučaju pisane izjave o drugom pitanju, mjerama zaštite trebalo bi se osigurati da je osoba čiji se podaci obrađuju svjesna toga da daje svoju suglasnost i u kojoj mjeri to čini. U skladu s načelom smanjenja količine podataka teret dokaza ne treba shvatiti kao zahtjev za pozitivnu identifikaciju osoba čiji se podaci obrađuju, osim ako to nije potrebno. Istovjetno odredbama građanskog prava (npr. Direktiva Vijeća 93/13/EEZ), politike zaštite podataka trebaju biti što je moguće jasnije i transparentnije. Ne bi trebale sadržavati skrivene ili nepogodne klauzule. Suglasnost se ne može dati za obradu osobnih podataka trećih osoba.

 

Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

Amandman  12

Prijedlog Uredbe

Uvodna izjava 33.

Tekst koji je predložila Komisija

Izmjena

(33) Kako bi se osiguralo da je suglasnost dobrovoljna, trebalo bi pojasniti da suglasnost nije važeća pravna osnova za obradu ako pojedinac nema istinsku slobodu izbora te ako ne može odbiti ili povući suglasnost bez posljedica.

(33) Kako bi se osiguralo da je suglasnost dobrovoljna, trebalo bi pojasniti da suglasnost nije važeća pravna osnova za obradu ako pojedinac nema istinsku slobodu izbora te ako ne može odbiti ili povući suglasnost bez posljedica. To je naročito slučaj ako je nadzornik javno tijelo koje na temelju svojih relevantnih javnih ovlasti može nametnuti obvezu i suglasnost se ne može smatrati dobrovoljno danom. Upotreba zadanih opcija koje osoba čiji se podaci obrađuju mora izmijeniti kako bi se usprotivila toj obradi, kao što su već označena polja, ne izražava suglasnost. Suglasnost za obradu dodatnih osobnih podataka koji nisu potrebni za pružanje usluge ne zahtijeva se za korištenje usluge. Ako je suglasnost povučena, to može omogućiti obustavu ili neizvršenje usluge koja ovisi o podacima. Ako je dovršenje predviđene svrhe nejasno, nadzornik u pravilnim razmacima osigurava osobi čiji se podaci obrađuju informacije o obradi te traži ponovnu potvrdu njezine suglasnosti.

Amandman  13

Prijedlog Uredbe

Uvodna izjava 34.

Tekst koji je predložila Komisija

Izmjena

(34) Suglasnost ne bi trebala biti važeća pravna osnova za obradu osobnih podataka ako postoji jasna neravnoteža između osobe čiji se podaci obrađuju i nadzornika. To je posebno slučaj kad osoba čiji se podaci obrađuju ovisi o nadzorniku, između ostalog kad poslodavac pri zapošljavanju obrađuje osobne podatke zaposlenika. Ako je nadzornik javno tijelo, neravnoteža bi postojala samo u posebnim postupcima obrade podataka kad javno tijelo na temelju svojih relevantnih javnih ovlasti može nametnuti obvezu i suglasnost se, s obzirom na interes osobe čiji se podaci obrađuju, ne može smatrati dobrovoljno danom.

Briše se.

Amandman  14

Prijedlog Uredbe

Uvodna izjava 36.

Tekst koji je predložila Komisija

Izmjena

(36) Ako se obrada provodi radi izvršavanja pravne obveze kojoj podliježe nadzornik ili ako je obrada potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti, obrada bi trebala imati pravnu osnovu u zakonodavstvu Unije ili države članice, koje u pogledu bilo kakvog ograničenja prava i sloboda zadovoljava zahtjeve Povelje Europske unije o temeljnim pravima. U zakonodavstvu Unije ili nacionalnom zakonodavstvu također mora biti utvrđeno treba li nadzornik koji izvršava zadatak koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti biti tijelo javne uprave ili druga pravna ili fizička osoba koja podliježe javnom pravu ili privatnom pravu, kao što je na primjer strukovno udruženje.

(36) Ako se obrada provodi radi izvršavanja pravne obveze kojoj podliježe nadzornik ili ako je obrada potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti, obrada bi trebala imati pravnu osnovu u zakonodavstvu Unije ili države članice, koje u pogledu bilo kakvog ograničenja prava i sloboda zadovoljava zahtjeve Povelje Europske unije o temeljnim pravima. To bi također trebalo uključivati kolektivne ugovore koji bi u skladu sa nacionalnim zakonodavstvom mogli biti priznati kao opće valjani. U zakonodavstvu Unije ili nacionalnom zakonodavstvu također mora biti utvrđeno treba li nadzornik koji izvršava zadatak koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti biti tijelo javne uprave ili druga pravna ili fizička osoba koja podliježe javnom pravu ili privatnom pravu, kao što je na primjer strukovno udruženje.

Amandman  15

Prijedlog Uredbe

Uvodna izjava 38.

Tekst koji je predložila Komisija

Izmjena

(38) Legitimni interesi nadzornika mogu biti pravna osnova za obradu, pod uvjetom da interesi ili temeljna prava i slobode osobe čiji se podaci obrađuju nemaju prednost. To je posebno potrebno pažljivo ocijeniti ako je osoba čiji se podaci obrađuju dijete, s obzirom na to da je djeci potreba posebna zaštita. Osoba čiji se podaci obrađuju trebala bi imati pravo da na osnovi svoje posebne situacije besplatno uloži prigovor na obradu. Kako bi se osigurala transparentnost, nadzornik bi trebao biti dužan izričito obavijestiti osobu čiji se podaci obrađuju o postojanju legitimnih interesa te ih i dokumentirati, kao i obavijestiti dotičnu osobu o njezinu pravu na prigovor. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu podataka koju provode javna tijela, ova pravna osnova ne bi se trebala primjenjivati na obradu podataka koju provode javna tijela pri izvršavanju svojih zadataka.

(38) Legitimni interesi kontrolora ili, u slučaju otkrivanja, treće strane kojoj se podaci otkrivaju, mogu biti pravna osnova za obradu, pod uvjetom da ispunjava razumna očekivanja osobe čiji se podaci obrađuju na temelju njezine veze s nadzornikom te da interesi ili temeljna prava i slobode osobe čiji se podaci obrađuju nemaju prednost. To je posebno potrebno pažljivo ocijeniti ako je osoba čiji se podaci obrađuju dijete, s obzirom na to da je djeci potreba posebna zaštita. Pod uvjetom da interesi ili temeljna prava i slobode osobe čiji se podaci obrađuju nemaju prednost, pretpostavlja se da obrada ograničena na pseudonimne podatke ispunjava razumna očekivanja osobe čiji se podaci obrađuju na temelju njezine veze s nadzornikom. Osoba čiji se podaci obrađuju ima pravo na besplatno ulaganje prigovora na obradu. Kako bi se osigurala transparentnost, nadzornik bi trebao biti dužan izričito obavijestiti osobu čiji se podaci obrađuju o postojanju legitimnih interesa te ih i dokumentirati, kao i obavijestiti dotičnu osobu o njezinu pravu na prigovor. Interesi i temeljna prava osobe čiji se podaci obrađuju mogu naročito nadvladati interes nadzornika podataka ako se osobni podaci obrađuju u okolnostima u kojima osobe čiji se podaci obrađuju ne očekuju daljnju obradu. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu podataka koju provode javna tijela, ova pravna osnova ne bi se trebala primjenjivati na obradu podataka koju provode javna tijela pri izvršavanju svojih zadataka.

Amandman  16

Prijedlog Uredbe

Uvodna izjava 39.

Tekst koji je predložila Komisija

Izmjena

(39) Obrada podataka u opsegu nužno potrebnom kako bi se osigurala sigurnost mreže i informacija, tj. sposobnost mreže ili informacijskog sustava da se, uz određeni stupanj pouzdanosti, obrani od neočekivanih događaja ili nezakonitih ili zlonamjernih radnji koje ugrožavaju dostupnost, autentičnost, cjelovitost i povjerljivost pohranjenih ili prenesenih podataka te sigurnost povezanih usluga koje pružaju ili koje su dostupne putem tih mreža i sustava, javnih tijela, središta za računalnu sigurnost (CERT), grupa za rješavanje računalnih sigurnosnih incidenata (CSIRT), operatera elektroničkih komunikacijskih mreža i pružatelja elektroničkih komunikacijskih usluga te pružatelja sigurnosnih tehnologija i usluga, legitiman je interes dotičnog nadzornika obrade. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama, širenja zlonamjernih kodova, zaustavljanje napada na temelju uskraćivanja usluge te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima.

(39) Obrada podataka u opsegu nužno potrebnom i razmjernom kako bi se osigurala sigurnost mreže i informacija, tj. sposobnost mreže ili informacijskog sustava da se obrani od neočekivanih događaja ili zlonamjernih radnji koje ugrožavaju dostupnost, autentičnost, cjelovitost i povjerljivost pohranjenih ili prenesenih podataka te sigurnost povezanih usluga koje pružaju te mreže i sustavi, javna tijela, središta za računalnu sigurnost (CERT), grupe za rješavanje računalnih sigurnosnih incidenata (CSIRT), operateri elektroničkih komunikacijskih mreža i pružatelji elektroničkih komunikacijskih usluga te pružatelji sigurnosnih tehnologija i usluga, legitiman je interes dotičnog nadzornika obrade. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama, širenja zlonamjernih kodova, zaustavljanje napada na temelju uskraćivanja usluge te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima. To se načelo također primjenjuje na obradu osobnih podataka kako bi se ograničio nasilan pristup javno dostupnim mrežama ili informacijskim sustavima te njihova upotreba, kao što je crna lista elektroničkih identifikatora.

Amandman  17

Prijedlog Uredbe

Uvodna izjava 39.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(39.a) Pod uvjetom da interesi ili temeljna prava i slobode osobe čiji se podaci obrađuju nemaju prednost, smatra se da je sprečavanje ili ograničavanje štete na strani nadzornika podataka provedeno radi legitimnog interesa nadzornika podataka ili, u slučaju otkrivanja, treće osobe kojoj se podaci otkrivaju, te da ispunjava razumna očekivanja osobe čiji se podaci obrađuju na temelju njezine veze s nadzornikom. Jednako načelo primjenjuje se i na provedbu zakonskih potraživanja protiv osobe čiji se podaci obrađuju, kao što su naplata duga ili građanske odštete i pravni lijekovi.

Amandman  18

Prijedlog Uredbe

Uvodna izjava 39.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(39.b) Pod uvjetom da interesi ili temeljna prava i slobode osobe čiji se podaci obrađuju nemaju prednost, smatra se da je obrada osobnih podataka u izravne marketinške svrhe za vlastite ili slične proizvode i usluge ili u izravne poštanske marketinške svrhe provedena radi legitimnog interesa nadzornika ili, u slučaju otkrivanja, treće osobe kojoj se podaci otkrivaju, te da ispunjava razumna očekivanja osobe čiji se podaci obrađuju na temelju njezine veze s nadzornikom ako postoji veoma vidljiva informacija o pravu prigovora i o izvoru osobnih podataka. Općenito se smatra da se obrada poslovnih kontaktnih podataka provodi radi legitimnog interesa nadzornika ili, u slučaju otkrivanja, treće osobe kojoj se podaci otkrivaju, te da zadovoljava razumna očekivanja osobe čiji se podaci obrađuju na temelju njezine veze s nadzornikom. To se primjenjuje i na obradu osobnih podataka koje je objavila osoba čiji se podaci obrađuju.

Amandman  19

Prijedlog Uredbe

Uvodna izjava 40.

Tekst koji je predložila Komisija

Izmjena

(40) Obrada osobnih podataka u druge svrhe trebala bi se dopustiti samo ako je obrada u skladu sa svrhom radi koje su podaci prethodno prikupljeni, a posebno ako je obrada potrebna u svrhe povijesnog, statističkog ili znanstvenog istraživanja. Ako je druga svrha nespojiva s prvotnom svrhom radi koje su podaci prikupljeni, nadzornik bi za tu drugu svrhu trebao dobiti suglasnost osobe čiji se podaci obrađuju ili bi obradu trebao temeljiti na drugoj legitimnoj osnovi za zakonitu obradu, pogotovo ako je ona utvrđena zakonodavstvom Unije ili države članice kojemu podliježe nadzornik. U svakom slučaju trebalo bi se osigurati da se primjenjuju načela utvrđena ovom Uredbom i posebno da je osoba čiji se podaci obrađuju obaviještena o tim drugim svrhama.

Briše se.

Amandman  20

Prijedlog Uredbe

Uvodna izjava 41.

Tekst koji je predložila Komisija

Izmjena

(41) Osobni podaci koji su po svojoj prirodi osobito osjetljivi i ranjivi u pogledu temeljnih prava ili privatnosti zaslužuju posebnu zaštitu. Takve podatke ne bi trebalo obrađivati, osim ako osoba čiji se podaci obrađuju za to ne da svoju izričitu suglasnost. Međutim, kad je riječ o posebnim potrebama, trebalo bi izričito predvidjeti odstupanja od ove zabrane, pogotovo ako se obrada provodi u sklopu zakonitih aktivnosti određenih udruga ili zaklada čiji je cilj ostvarenje temeljnih sloboda.

Briše se.

Amandman  21

Prijedlog Uredbe

Uvodna izjava 42.

Tekst koji je predložila Komisija

Izmjena

(42) Odstupanja od zabrane obrade osjetljivih kategorija podataka također bi se trebala dopustiti kad za to postoji zakonska osnova i − pod uvjetom da postoje odgovarajuće mjere za zaštitu osobnih podataka i drugih temeljnih prava − kad je to opravdano zbog javnog interesa, te posebno u zdravstvene svrhe, na područjima kao što je javno zdravlje i socijalna zaštita, upravljanje zdravstvenim službama, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se koriste za rješavanje zahtjeva za ostvarenje pogodnosti i usluga iz sustava zdravstvenog osiguranja ili u svrhe povijesnog, statističkog i znanstvenog istraživanja.

(42) Odstupanja od zabrane obrade osjetljivih kategorija podataka također bi se trebala dopustiti kad za to postoji zakonska osnova i − pod uvjetom da postoje odgovarajuće mjere za zaštitu osobnih podataka i drugih temeljnih prava − kad je to opravdano zbog javnog interesa, te posebno u zdravstvene svrhe, na područjima kao što je javno zdravlje i socijalna zaštita, upravljanje zdravstvenim službama, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se koriste za rješavanje zahtjeva za ostvarenje pogodnosti i usluga iz sustava zdravstvenog osiguranja ili u svrhe povijesnog, statističkog i znanstvenog istraživanja ili za usluge arhiviranja.

Amandman  22

Prijedlog Uredbe

Uvodna izjava 45.

Tekst koji je predložila Komisija

Izmjena

(45) Ako nadzornik ne može utvrditi identitet fizičke osobe čije podatke obrađuje, on ne bi trebao biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet osobe čiji se podaci obrađuju samo radi pridržavanja neke odredbe ove Uredbe. U slučaju zahtjeva za pristup podacima, nadzornik bi trebao imati pravo da od osobe čiji se podaci obrađuju zatraži daljnje informacije koje bi mu omogućile da nađe osobne podatke koje ta osoba traži.

(45) Ako nadzornik ne može utvrditi identitet fizičke osobe čije podatke obrađuje, on ne bi trebao biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet osobe čiji se podaci obrađuju samo radi pridržavanja neke odredbe ove Uredbe. U slučaju zahtjeva za pristup podacima, nadzornik bi trebao imati pravo da od osobe čiji se podaci obrađuju zatraži daljnje informacije koje bi mu omogućile da nađe osobne podatke koje ta osoba traži. Ako osoba čiji se podaci obrađuju može pružiti takve podatke, nadzornici ne bi smjeli biti u mogućnosti da se pozovu na nedostatak informacija kako bi odbili zahtjev za pristup.

Amandman  23

Prijedlog Uredbe

Uvodna izjava 47.

Tekst koji je predložila Komisija

Izmjena

(47) Trebalo bi osigurati načine kojima se osobi čiji se podaci obrađuju olakšava ostvarivanje njezinih prava u okviru ove Uredbe, uključujući mehanizme za besplatan zahtjev posebno za pristup podacima, njihov ispravak i brisanje te za ostvarivanje prava na prigovor. Nadzornik bi trebao biti dužan da na zahtjev osobe čiji se podaci obrađuju odgovori u određenom roku ili da u slučaju odbijenog zahtjeva navede razloge za to.

(47) Trebalo bi osigurati načine kojima se osobi čiji se podaci obrađuju olakšava ostvarivanje njezinih prava u okviru ove Uredbe, uključujući mehanizme za dobivanje, i to besplatno, naročito pristupa podacima, njihovom ispravku i brisanju te za ostvarivanje prava na prigovor. Nadzornik bi trebao biti dužan da na zahtjev osobe čiji se podaci obrađuju odgovori u razumnom roku ili da u slučaju odbijenog zahtjeva navede razloge za to.

Amandman  24

Prijedlog Uredbe

Uvodna izjava 48.

Tekst koji je predložila Komisija

Izmjena

(48) Načelo poštene i transparentne obrade podataka zahtijeva da su osobe čiji se podaci obrađuju obaviještene osobito o postupku obrade i njezinoj svrsi, duljini pohrane podataka, postojanju prava pristupa, ispravka ili brisanja podataka te o pravu na podnošenje žalbe. Ako se podaci prikupljaju od osobe čiji se podaci obrađuju, osoba čiji se podaci obrađuju trebala bi biti obaviještena o tome je li ona dužna dostaviti takve podatke te o mogućim posljedicama u slučaju da ih ne dostavi.

(48) Načelo poštene i transparentne obrade podataka zahtijeva da su osobe čiji se podaci obrađuju obaviještene osobito o postupku obrade i njezinoj svrsi, vjerojatnoj duljini pohrane podataka u svaku svrhu, o tome hoće li se podaci prenijeti trećim stranama ili u treće zemlje, o postojanju mjera prigovora i prava pristupa, ispravka ili brisanja podataka te o pravu na podnošenje žalbe. Ako se podaci prikupljaju od osobe čiji se podaci obrađuju, osoba čiji se podaci obrađuju trebala bi biti obaviještena o tome je li ona dužna dostaviti takve podatke te o mogućim posljedicama u slučaju da ih ne dostavi. Ta se obavijest osigurava, što može značiti i da je lako dostupna, osobi čiji se podaci obrađuju nakon davanja pojednostavljene obavijesti u obliku standardiziranih ikona. To također znači da se osobni podaci obrađuju na način koji učinkovito omogućuje da osoba čiji se podaci obrađuju ostvari svoja prava.

Amandman  25

Prijedlog Uredbe

Uvodna izjava 50.

Tekst koji je predložila Komisija

Izmjena

(50) Međutim, nije potrebno nametnuti tu obvezu ako osoba čiji se podaci obrađuju već ima tu informaciju ili ako je bilježenje ili otkrivanje izričito propisano zakonom ili ako se davanje informacija osobi čiji se podaci obrađuju pokaže nemogućim ili bi uključivalo nerazmjerni napor. To bi mogao biti slučaj posebno ako se obrada provodi u svrhe povijesnog, statističkog ili znanstvenog istraživanja; u tome se smislu može uzeti u obzir broj osoba čiji se podaci obrađuju, starost podataka i sve donesene zamjenske mjere.

(50) Međutim, nije potrebno nametnuti tu obvezu ako osoba čiji se podaci obrađuju već zna tu informaciju ili ako je bilježenje ili otkrivanje izričito propisano zakonom ili ako se davanje informacija osobi čiji se podaci obrađuju pokaže nemogućim ili bi uključivalo nerazmjerni napor.

Amandman  26

Prijedlog Uredbe

Uvodna izjava 51.

Tekst koji je predložila Komisija

Izmjena

(51) Svaka bi osoba trebala imati pravo na pristup podacima koji se o njoj prikupljaju i ostvarivanje toga prava na jednostavan način kako bi znala da je obrada zakonita i to mogla potvrditi. Svaka osoba čiji se podaci obrađuju trebala bi stoga imati pravo znati i primiti obavijest, osobito o svrhama u koje se podaci obrađuju, na koje razdoblje, o tome tko su primatelji podataka, o logici podataka koji se obrađuju te o posljedicama takve obrade, posebno u slučaju kad se obrada temelji na profiliranju. To pravo ne bi smjelo štetno utjecati na prava i slobode drugih, uključujući poslovne tajne ili intelektualno vlasništvo, te posebno na autorska prava kojima se štiti programska oprema. Ta pitanja međutim ne bi smjela dovesti do toga da se osobi čiji se podaci obrađuju uskrate bilo kakve informacije.

(51) Svaka bi osoba trebala imati pravo na pristup podacima koji se o njoj prikupljaju i ostvarivanje toga prava na jednostavan način kako bi znala da je obrada zakonita i to mogla potvrditi. Svaka osoba čiji se podaci obrađuju trebala bi stoga imati pravo znati i primiti obavijest, osobito o svrhama u koje se podaci obrađuju, na koje predviđeno razdoblje, o tome tko su primatelji podataka, o općoj logici podataka koji se obrađuju te o posljedicama takve obrade. To pravo ne bi smjelo štetno utjecati na prava i slobode drugih, uključujući poslovne tajne ili intelektualno vlasništvo, kao što su ona kojima se štiti programska oprema. Ta pitanja međutim ne bi smjela dovesti do toga da se osobi čiji se podaci obrađuju uskrate bilo kakve informacije.

Amandman  27

Prijedlog Uredbe

Uvodna izjava 53.

Tekst koji je predložila Komisija

Izmjena

(53) Svaka osoba bi trebala imati pravo na ispravak osobnih podataka o sebi i „pravo na zaborav” ako pohrana takvih podataka nije u skladu s ovom Uredbom. Štoviše, osobe čiji se podaci obrađuju trebale bi imati pravo na to da se njihovi osobni podaci obrišu i više ne obrađuju, ako podaci više nisu potrebni za svrhe radi kojih su prikupljeni ili na drugi način obrađivani, ako su osobe čiji se podaci obrađuju povukle svoju suglasnost za obradu ili ako se protive obradi osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka iz drugih razloga nije u skladu s ovom Uredbom. To je pravo posebno relevantno u slučajevima kad je osoba čiji se podaci obrađuju dala svoju suglasnost kao dijete, kad nije bila u potpunosti svjesna rizika vezanih uz obradu, i kasnije želi ukloniti takve osobne podatke, pogotovo one na internetu. No daljnja pohrana podataka trebala bi se dopustiti ako je potrebna u svrhe povijesnog, statističkog i znanstvenog istraživanja, zbog javnog interesa na području javnog zdravlja, radi ostvarivanja prava na slobodu izražavanja, ako to zahtijeva zakon i ako postoji razlog za ograničenje obrade podataka umjesto njihova brisanja.

 

(53) Svaka osoba bi trebala imati pravo na ispravak osobnih podataka o sebi i „pravo na brisanje podataka” ako pohrana takvih podataka nije u skladu s ovom Uredbom. Štoviše, osobe čiji se podaci obrađuju trebale bi imati pravo na to da se njihovi osobni podaci obrišu i više ne obrađuju, ako podaci više nisu potrebni za svrhe radi kojih su prikupljeni ili na drugi način obrađivani, ako su osobe čiji se podaci obrađuju povukle svoju suglasnost za obradu ili ako se protive obradi osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka iz drugih razloga nije u skladu s ovom Uredbom. No daljnja pohrana podataka trebala bi se dopustiti ako je potrebna u svrhe povijesnog, statističkog i znanstvenog istraživanja, zbog javnog interesa na području javnog zdravlja, radi ostvarivanja prava na slobodu izražavanja, ako to zahtijeva zakon i ako postoji razlog za ograničenje obrade podataka umjesto njihova brisanja. Osim toga pravo na brisanje podataka ne bi se trebalo primjenjivati ako je pohrana osobnih podataka potrebna za izvršenje ugovora s osobom čiji se podaci obrađuju ili ako postoji zakonska obveza pohrane tih podataka.

Amandman  28

Prijedlog Uredbe

Uvodna izjava 54.

Tekst koji je predložila Komisija

Izmjena

(54) Kako bi se „pravo na zaborav” ojačalo u mrežnom okruženju, pravo brisanja trebalo bi proširiti tako da bi nadzornik koji je objavio osobne podatke trebao biti dužan obavijestiti treće strane koje obrađuju takve podatke da osoba čiji se podaci obrađuju zahtijeva da obrišu sve poveznice, kopije i replike tih osobnih podataka. Kako bi osigurao obavještavanje trećih strana, nadzornik bi trebao poduzeti sve opravdane korake, uključujući tehničke mjere, u odnosu na podatke za čije je objavljivanje odgovoran. U pogledu objave osobnih podataka koju je izvršila treća strana, nadzornik bi se trebao smatrati odgovornim za tu objavu ako je on ovlastio treću stranu da objavi osobne podatke.

(54) Kako bi se „pravo na brisanje podataka” ojačalo u mrežnom okruženju, pravo brisanja trebalo bi proširiti tako da bi nadzornik koji je objavio osobne podatke bez pravnog obrazloženja trebao biti dužan poduzeti sve potrebne korake kako bi se podaci izbrisali, uključujući i brisanje koje provode treće strane, ne dovodeći u pitanje pravo osobe čiji se podaci obrađuju da traži naknadu štete.

Amandman  29

Prijedlog Uredbe

Uvodna izjava 54.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(54.a) Podatke koje usporava osoba čiji se podaci obrađuju i čija se točnost ili netočnost ne može utvrditi treba blokirati dok se pitanje ne razjasni.

Amandman  30

Prijedlog Uredbe

Uvodna izjava 55.

Tekst koji je predložila Komisija

Izmjena

(55) Osobe čiji se podaci obrađuju trebale bi radi jačanja nadzora nad vlastitim podacima i svog prava na pristup podacima imati pravo, ako se osobni podaci obrađuju elektroničkim putem te uz pomoć strukturiranog i uobičajenog formata, dobiti kopiju podataka koji se odnose na njih u uobičajenom elektroničkom formatu. Osoba čiji se podaci obrađuju također bi trebala imati pravo prenijeti osobne podatke koje je ustupila iz jedne automatizirane aplikacije, na primjer društvene mreže, u drugu. To bi se trebalo primjenjivati u slučajevima kad je osoba čiji se podaci obrađuju na temelju svoje suglasnosti ili pri izvršenju ugovora ustupila podatke automatiziranom sustavu obrade.

(55) Osobe čiji se podaci obrađuju trebale bi radi jačanja nadzora nad vlastitim podacima i svog prava na pristup podacima imati pravo, ako se osobni podaci obrađuju elektroničkim putem te uz pomoć strukturiranog i uobičajenog formata, dobiti kopiju podataka koji se odnose na njih u uobičajenom elektroničkom formatu. Osoba čiji se podaci obrađuju također bi trebala imati pravo prenijeti osobne podatke koje je ustupila iz jedne automatizirane aplikacije, na primjer društvene mreže, u drugu. Nadzornike podataka treba poticati na razvijanje interoperabilnih oblika koji omogućavaju prijenos podataka. To bi se trebalo primjenjivati u slučajevima kad je osoba čiji se podaci obrađuju na temelju svoje suglasnosti ili pri izvršenju ugovora ustupila podatke automatiziranom sustavu obrade. Pružatelji usluga informacijskog društva ne bi trebali prenositi podatke koji su obvezni za pružanje njihovih usluga.

Amandman  31

Prijedlog Uredbe

Uvodna izjava 56.

Tekst koji je predložila Komisija

Izmjena

(56) U slučajevima gdje se osobni podaci zakonito obrađuju radi zaštite vitalnih interesa osobe čiji se podaci obrađuju ili zbog javnog interesa, pri izvršavanju javne ovlasti ili zbog legitimnih interesa nadzornika, svaka osoba čiji se podaci obrađuju trebala bi unatoč tome imati pravo protivljenja obradi podataka koji se odnose na nju. Nadzornik bi trebao snositi odgovornost dokazivanja da njegovi legitimni interesi mogu imati prednost nad interesima ili temeljnim pravima i slobodama osobe čiji se podaci obrađuju.

(56) U slučajevima gdje se osobni podaci zakonito obrađuju radi zaštite vitalnih interesa osobe čiji se podaci obrađuju ili zbog javnog interesa, pri izvršavanju javne ovlasti ili zbog legitimnih interesa nadzornika, svaka osoba čiji se podaci obrađuju trebala bi unatoč tome imati pravo protivljenja obradi podataka koji se odnose na nju, besplatno i na jednostavan i djelotvoran način Nadzornik bi trebao snositi odgovornost dokazivanja da njegovi legitimni interesi mogu imati prednost nad interesima ili temeljnim pravima i slobodama osobe čiji se podaci obrađuju.

Amandman  32

Prijedlog Uredbe

Uvodna izjava 57.

Tekst koji je predložila Komisija

Izmjena

(57) Ako se osobni podaci obrađuju u izravne marketinške svrhe, osoba čiji se podaci obrađuju trebala bi imati pravo besplatno, na jednostavan i djelotvoran način protiviti se obradi svojih osobnih podataka za takav marketing.

(57) Ako osoba čiji se podaci obrađuju ima pravo protiviti se obradi, nadzornik bi to pravo trebao izričito ponuditi osobi čiji se podaci obrađuju na razumljiv način i u razumljivom obliku, koristeći jasan i jednostavan jezik, te bi ga trebao jasno razlikovati od drugih informacija.

Amandman  33

Prijedlog Uredbe

Uvodna izjava 58.

Tekst koji je predložila Komisija

Izmjena

(58) Svaka fizička osoba trebala bi imati pravo da je se ne podvrgne mjeri koja se temelji na profiliranju automatiziranom obradom. No takva bi se mjera trebala dopustiti ako je izričito dopuštena zakonom, ako se provodi pri sklapanju ili izvršenju ugovora ili ako je osoba čiji se podaci obrađuju dala svoju suglasnost. U svakom slučaju za takve bi se obrade trebale primjenjivati odgovarajuće mjere zaštite kao što su posebno obavještavanje osobe čiji se podaci obrađuju, pravo na izravno ljudsko posredovanje te jamstvo da se takva obrada ne bi smjela odnositi na dijete.

(58) Ne dovodeći u pitanje zakonitost obrade podataka, svaka fizička osoba trebala bi imati pravo prigovora na profiliranje. Profiliranje koje rezultira mjerama s pravnim učinkom na osobu čiji se podaci obrađuju ili slično tomu uvelike utječu na interese, prava ili slobode predmetne osobe čiji se podaci obrađuju trebalo bi se dopustiti samo ako je izričito dopušteno zakonom, ako se provodi pri sklapanju ili izvršenju ugovora ili ako je osoba čiji se podaci obrađuju dala svoju suglasnost. U svakom slučaju za takve bi se obrade trebale primjenjivati odgovarajuće mjere zaštite kao što su posebno obavještavanje osobe čiji se podaci obrađuju, pravo na izravnu ljudsku procjenu te jamstvo da se takva obrada ne bi smjela odnositi na dijete. Takve mjere ne bi trebale dovesti do diskriminacije pojedinaca na temelju rasnog ili etničkog porijekla, političkih mišljenja, vjere ili uvjerenja, članstva u sindikatu, spolne opredijeljenosti ili spolnog identiteta.

Amandman  34

Prijedlog Uredbe

Uvodna izjava 58.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(58.a) Pretpostavlja se da profiliranje koje se temelji isključivo na obradi pseudonimnih podataka ne utječe uvelike na interese, prava ili slobode osobe čiji se podaci obrađuju. Ako profiliranje, bilo da se temelji na jednom izvoru pseudonimnih podataka ili na grupi pseudonimnih podataka iz različitih izvora, omogućuje nadzorniku da poveže pseudonimne podatke s određenom osobom čiji se podaci obrađuju, smatra se da obrađeni podaci više nisu pseudonimni.

Amandman  35

Prijedlog Uredbe

Uvodna izjava 59.

Tekst koji je predložila Komisija

Izmjena

(59) Ograničenja određenih načela i prava na informacije, pristup, ispravljanje, brisanje ili prava na prijenos podataka, prava prigovora, mjera koje se temelje na profiliranju, obavještavanja osobe čiji se podaci obrađuju o povredi njezinih osobnih podataka te određenih povezanih obveza nadzornika, mogu biti nametnuta zakonodavstvom Unije ili države članice ako je to u demokratskom društvu potrebno i razmjerno radi zaštite javne sigurnosti, što uključuje zaštitu ljudskih života osobito uslijed prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem, sprečavanje, istragu i progon kaznenih djela ili kršenja etike u zakonski uređenim djelatnostima, druge javne interese Unije ili države članice, posebno važan gospodarski ili financijski interes Unije ili države članice ili zaštitu osobe čiji se podaci obrađuju ili prava i sloboda drugih. Ta bi ograničenja trebala biti u skladu sa zahtjevima iz Povelje Europske unije o temeljnim pravima i Europske konvencije o zaštiti ljudskih prava i temeljnih sloboda.

(59) Ograničenja određenih načela i prava na informacije, ispravljanje i brisanje ili prava na pristup i dobivanje podataka, prava prigovora, mjera koje se temelje na profiliranju, obavještavanja osobe čiji se podaci obrađuju o povredi njezinih osobnih podataka te određenih povezanih obveza nadzornika, mogu biti nametnuta zakonodavstvom Unije ili države članice ako je to u demokratskom društvu potrebno i razmjerno radi zaštite javne sigurnosti, što uključuje zaštitu ljudskih života osobito uslijed prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem, sprečavanje, istragu i progon kaznenih djela ili kršenja etike u zakonski uređenim djelatnostima, druge specifične i jasno određene javne interese Unije ili države članice, posebno važan gospodarski ili financijski interes Unije ili države članice ili zaštitu osobe čiji se podaci obrađuju ili prava i sloboda drugih. Ta bi ograničenja trebala biti u skladu sa zahtjevima iz Povelje Europske unije o temeljnim pravima i Europske konvencije o zaštiti ljudskih prava i temeljnih sloboda.

Amandman  36

Prijedlog Uredbe

Uvodna izjava 60.

Tekst koji je predložila Komisija

Izmjena

(60) Za bilo koju obradu osobnih podataka koju provodi nadzornik ili koja se provodi u njegovo ime nadzornik bi trebao snositi potpunu odgovornost. Nadzornik bi posebno trebao osigurati i biti dužan dokazati da je svaki postupak obrade u skladu s ovom Uredbom.

(60) Za bilo koju obradu osobnih podataka koju provodi nadzornik ili koja se provodi u njegovo ime nadzornik bi trebao snositi potpunu odgovornost, naročito s obzirom na dokumentaciju, sigurnost podataka, procjene učinka, službenika za zaštitu podataka i nadzor tijela za zaštitu podataka. Nadzornik bi posebno trebao osigurati i biti u mogućnosti dokazati da je svaki postupak obrade u skladu s ovom Uredbom. To bi trebali provjeriti nezavisni unutarnji ili vanjski revizori.

Amandman  37

Prijedlog Uredbe

Uvodna izjava 61.

Tekst koji je predložila Komisija

Izmjena

(61) Zaštita prava i sloboda osoba čiji se podaci obrađuju pri obradi osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera pri planiranju obrade i pri samoj obradi kako bi se osiguralo ispunjavanje zahtjeva ove Uredbe. Kako bi se osigurala i dokazala usklađenost s ovom Uredbom, nadzornik bi trebao usvojiti interne strategije i provoditi odgovarajuće mjere koje posebno zadovoljavaju načela zaštite podataka pomoću tehnike i integrirane zaštite.

(61) Zaštita prava i sloboda osoba čiji se podaci obrađuju pri obradi osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera pri planiranju obrade i pri samoj obradi kako bi se osiguralo ispunjavanje zahtjeva ove Uredbe. Kako bi se osigurala i dokazala usklađenost s ovom Uredbom, nadzornik bi trebao usvojiti interne strategije i provoditi odgovarajuće mjere koje posebno zadovoljavaju načela zaštite podataka pomoću tehnike i integrirane zaštite. Načelo tehničke zaštite podataka zahtijeva da se zaštita podataka ugradi u čitav životni ciklus tehnologije, od same rane faze dizajniranja do njezina krajnjeg razvijanja, korištenja i konačnog uklanjanja. To bi također trebalo uključiti odgovornost za proizvode i usluge koje koristi nadzornik ili obrađivač. Načelo integrirane zaštite podataka zahtijeva postavke privatnosti na uslugama i proizvodima koje bi automatski trebale biti u skladu s općim načelima zaštite podataka kao što su smanjenje količine podataka i ograničenje namjene.

Amandman  38

Prijedlog Uredbe

Uvodna izjava 62.

Tekst koji je predložila Komisija

Izmjena

(62) Zaštita prava i sloboda osoba čiji se podaci obrađuju te odgovornost nadzornika i obrađivača, također vezano uz nadzor i mjere nadzornih tijela, zahtijevaju jasnu raspodjelu odgovornosti u skladu s ovom Uredbom, uključujući i slučaj kada nadzornik zajedno s ostalim nadzornicima utvrđuje svrhe, uvjete i sredstva obrade ili kada se postupak obrade provodi u ime nadzornika.

(62) Zaštita prava i sloboda osoba čiji se podaci obrađuju te odgovornost nadzornika i obrađivača, također vezano uz nadzor i mjere nadzornih tijela, zahtijevaju jasnu raspodjelu odgovornosti u skladu s ovom Uredbom, uključujući i slučaj kada nadzornik zajedno s ostalim nadzornicima utvrđuje svrhe obrade ili kada se postupak obrade provodi u ime nadzornika. U međusobnom dogovoru zajedničkih nadzornika trebaju se ogledati stvarne uloge zajedničkih nadzornika i njihovi odnosi. Obrada osobnih podataka u skladu s ovom Uredbom treba uključivati dopuštenje za nadzornika da prenese podatke zajedničkom nadzorniku ili obrađivaču za obradu podataka u njihovo ime.

Amandman  39

Prijedlog Uredbe

Uvodna izjava 63.

Tekst koji je predložila Komisija

Izmjena

(63) Kada nadzornik koji nema poslovni nastan u Uniji obrađuje osobne podatke osoba koje imaju boravište u Uniji, te ako su njegove aktivnosti obrade povezane s ponudom proizvoda ili usluga osobama čiji se podaci obrađuju ili s praćenjem njihova ponašanja, nadzornik bi trebao imenovati predstavnika, osim ako nadzornik nema poslovni nastan u trećoj zemlji koja osigurava odgovarajuću razinu zaštite ili je nadzornik malo ili srednje poduzeće ili javno tijelo ili ako nadzornik samo povremeno nudi proizvode i usluge takvim osobama čiji se podaci obrađuju. Predstavnik bi trebao djelovati u ime nadzornika i biti osoba za kontakt s nadzornim tijelima.

(63) Kada nadzornik koji nema poslovni nastan u Uniji obrađuje osobne podatke osoba u Uniji, nadzornik bi trebao imenovati predstavnika, osim ako nadzornik nema poslovni nastan u trećoj zemlji koja osigurava odgovarajuću razinu zaštite ili se obrada odnosi na manje od 5000 osoba čiji se podaci obrađuju u bilo kojem uzastopnom razdoblju od 12 mjeseci i ne provodi se na posebnim kategorijama osobnih podataka ili je nadzornik javno tijelo ili ako nadzornik samo povremeno nudi proizvode i usluge takvim osobama čiji se podaci obrađuju. Predstavnik bi trebao djelovati u ime nadzornika i biti osoba za kontakt s nadzornim tijelima.

Amandman  40

Prijedlog Uredbe

Uvodna izjava 64.

Tekst koji je predložila Komisija

Izmjena

(64) Kako bi se utvrdilo nudi li nadzornik osobama čiji se podaci obrađuju i koje imaju boravište u Uniji proizvode i usluge samo povremeno, trebalo bi se provjeriti može li se iz cjelokupnih aktivnosti nadzornika zaključiti predstavlja li ponuda proizvoda i usluga takvim osobama samo sporednu aktivnost uz njegove glavne aktivnosti.

(64) Kako bi se utvrdilo nudi li nadzornik osobama čiji se podaci obrađuju u Uniji proizvode i usluge samo povremeno, trebalo bi se provjeriti može li se iz cjelokupnih aktivnosti nadzornika zaključiti predstavlja li ponuda proizvoda i usluga takvim osobama samo sporednu aktivnost uz njegove glavne aktivnosti.

Amandman  41

Prijedlog Uredbe

Uvodna izjava 65.

Tekst koji je predložila Komisija

Izmjena

(65) Kako bi se dokazala usklađenost s ovom Uredbom, nadzornik ili obrađivač trebali bi dokumentirati svaki postupak obrade. Svaki nadzornik i obrađivač trebao bi biti obvezan surađivati s nadzornim tijelima te im na zahtjev omogućiti pristup toj dokumentaciji kako bi se ti postupci obrade mogli pratiti.

(65) Kako bi se mogla dokazati usklađenost s ovom Uredbom, nadzornik ili obrađivač trebao bi voditi dokumentaciju potrebnu za ispunjavanje uvjeta utvrđenih ovom Uredbom. Svaki nadzornik i obrađivač trebao bi biti obvezan surađivati s nadzornim tijelima te im na zahtjev omogućiti pristup toj dokumentaciji kako bi se mogla ocijeniti usklađenost s ovom Uredbom. Međutim jednak naglasak i važnost treba staviti na dobru praksu i usklađenost, a ne samo na nadopunu dokumentacije.

Amandman  42

Prijedlog Uredbe

Uvodna izjava 66.

Tekst koji je predložila Komisija

Izmjena

(66) Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, nadzornik ili obrađivač trebali bi procijeniti rizike vezane uz obradu i provesti mjere za njihovo ublažavanje. Tim bi se mjerama, koje uzimaju u obzir razvoj tehnologije i trošak provedbe, trebala osigurati odgovarajuća razina zaštite u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi. Kod utvrđivanja tehničkih standarda i organizacijskih mjera za osiguranje sigurnosti obrade Komisija bi trebala poticati tehnološku neutralnost, interoperabilnost i inovacije te, ako je potrebno, surađivati s trećim zemljama.

(66) Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, nadzornik ili obrađivač trebali bi procijeniti rizike vezane uz obradu i provesti mjere za njihovo ublažavanje. Tim bi se mjerama, koje uzimaju u obzir razvoj tehnologije i trošak provedbe, trebala osigurati odgovarajuća razina zaštite u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi. Kod utvrđivanja tehničkih standarda i organizacijskih mjera za osiguranje sigurnosti obrade trebalo bi promicati tehnološku neutralnost, interoperabilnost i inovacije te, ako je potrebno, poticati suradnju s trećim zemljama.

Amandman  43

Prijedlog Uredbe

Uvodna izjava 67.

Tekst koji je predložila Komisija

Izmjena

(67) Povreda osobnih podataka može, ako se ne rješava pravovremeno i na odgovarajući način, dotičnom pojedincu prouzročiti znatan gospodarski gubitak i društvenu štetu, uključujući i zlouporabu identiteta. Stoga, čim nadzornik uoči da je došlo do takve povrede, trebao bi je bez nepotrebnog odgađanja i ako je moguće u roku od 24 sata prijaviti nadzornom tijelu. Ako to nije moguće učiniti u roku od 24 sata, uz obavijest bi trebalo priložiti obrazloženje razloga za kašnjenje. Pojedince na čije osobne podatke takva povreda može štetno utjecati trebalo bi bez nepotrebnog odgađanja o tome obavijestiti kako bi im se omogućilo poduzimanje potrebnih mjera opreza. Trebalo bi se smatrati da povreda ima štetan učinak na osobne podatke ili privatnost pojedinca u slučajevima kada bi na primjer mogla dovesti do krađe identiteta ili prijevare, fizičke povrede, velikog poniženja ili povrede ugleda. Obavijest bi trebala sadržavati opis prirode povrede osobnih podataka i preporuke za dotičnog pojedinca za ublažavanje možebitnih štetnih učinaka. Osobe čiji se podaci obrađuju trebalo bi obavijestiti što je prije razumno moguće, u tijesnoj suradnji s nadzornim tijelom i pridržavajući se smjernica koje je izdalo ono ili neko drugo nadležno tijelo (npr. tijela za prisilno provođenje zakona). Na primjer, kako bi osobe čiji se podaci obrađuju mogle umanjiti rizik od nastanka neposredne štete, potrebno je brzo ih obavijestiti, a duži rok obavještavanja mogao bi se opravdati potrebom da se poduzmu odgovarajuće mjere za sprečavanje daljnjih i sličnih povreda podataka.

(67) Povreda osobnih podataka može, ako se ne rješava pravovremeno i na odgovarajući način, dotičnom pojedincu prouzročiti znatan gospodarski gubitak i društvenu štetu, uključujući i zlouporabu identiteta. Stoga bi nadzornik trebao bez nepotrebnog odgađanja prijaviti povredu nadzornom tijelu, pretpostavlja se u roku ne dužem od 72 sata. Ako je potrebno, uz obavijest bi trebalo priložiti obrazloženje razloga za kašnjenje. Pojedince na čije osobne podatke takva povreda može štetno utjecati trebalo bi bez nepotrebnog odgađanja o tome obavijestiti kako bi im se omogućilo poduzimanje potrebnih mjera opreza. Trebalo bi se smatrati da povreda ima štetan učinak na osobne podatke ili privatnost pojedinca u slučajevima kada bi na primjer mogla dovesti do krađe identiteta ili prijevare, fizičke povrede, velikog poniženja ili povrede ugleda. Obavijest bi trebala sadržavati opis prirode povrede osobnih podataka i preporuke za dotičnog pojedinca za ublažavanje možebitnih štetnih učinaka. Osobe čiji se podaci obrađuju trebalo bi obavijestiti što je prije razumno moguće, u tijesnoj suradnji s nadzornim tijelom i pridržavajući se smjernica koje je izdalo ono ili neko drugo nadležno tijelo (npr. tijela za prisilno provođenje zakona). Na primjer, kako bi osobe čiji se podaci obrađuju mogle umanjiti rizik od nastanka neposredne štete, potrebno je brzo ih obavijestiti, a duži rok obavještavanja mogao bi se opravdati potrebom da se poduzmu odgovarajuće mjere za sprečavanje daljnjih i sličnih povreda podataka.

Amandman  44

Prijedlog Uredbe

Uvodna izjava 71.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(71.a) Procjene učinka ključni su dio svakog održivog okvira za zaštitu podataka jer osiguravaju da je poduzetništvo od početka svjesno svih mogućih posljedica postupaka obrade njegovih podataka. Ako su procjene učinka temeljite, moguće je bitno ograničiti vjerojatnost bilo kakve povrede osobnih podataka ili postupka koji narušava privatnost. Procjene učinka zaštite podataka trebale bi stoga uzeti u obzir upravljanje cjelokupnim životnim ciklusom osobnih podataka, od prikupljanja preko obrade do brisanja, detaljno opisujući predviđene postupke obrade, rizike za prava i slobode osoba čiji se podaci obrađuju, predviđene mjere za rizike, jamstva, sigurnosne mjere i mehanizme kako bi se osigurala usklađenost s uredbom.

Amandman  45

Prijedlog Uredbe

Uvodna izjava 71.b (nova)

Tekst koji je predložila Komisija

Izmjena

 

(71.b) Nadzornici bi se trebali usredotočiti na zaštitu osobnih podataka, od prikupljanja preko obrade do brisanja, od početka ulažući u održivi okvir za upravljanje podacima i nastavljajući ga sveobuhvatnim mehanizmom za usklađenost.

Amandman  46

Prijedlog Uredbe

Uvodna izjava 73.

Tekst koji je predložila Komisija

Izmjena

(73) Procjene učinka zaštite podataka trebala bi provoditi javna ustanova ili javno tijelo, ako takva procjena već nije provedena u sklopu donošenja nacionalnog zakonodavstva na kojem se temelji izvršavanje zadaća tog javnog tijela i kojim se uređuje dotični postupak ili skup postupaka obrade.

Briše se.

Amandman  47

Prijedlog Uredbe

Uvodna izjava 74.

Tekst koji je predložila Komisija

Izmjena

(74) U slučajevima kad procjena učinka zaštite podataka pokazuje da postupci obrade sadrže visoki stupanj određenih rizika za prava i slobode osoba čiji se podaci obrađuju, na primjer onemogućavanje pojedinca u ostvarivanju njegovih prava ili na temelju određenih novih tehnologija, prije početka postupka obrade trebalo bi se savjetovati s nadzornim tijelom o riskantnom postupku obrade koji možda nije u skladu s ovom Uredbom te sastaviti prijedloge za rješavanje takve situacije. Takvo savjetovanje trebalo bi se provesti tijekom pripreme zakonodavne mjere nacionalnog parlamenta ili mjere koja se temelji na takvoj zakonodavnoj mjeri i kojom se utvrđuje priroda obrade te predviđaju odgovarajuće mjere zaštite.

(74) U slučajevima kad procjena učinka zaštite podataka pokazuje da postupci obrade sadrže visoki stupanj određenih rizika za prava i slobode osoba čiji se podaci obrađuju, na primjer onemogućavanje pojedinca u ostvarivanju njegovih prava ili na temelju određenih novih tehnologija, prije početka postupka obrade trebalo bi se savjetovati sa službenikom za zaštitu podataka ili s nadzornim tijelom o riskantnom postupku obrade koji možda nije u skladu s ovom Uredbom te sastaviti prijedloge za rješavanje takve situacije. Savjetovanje s nadzornim tijelom trebalo bi se provesti tijekom pripreme zakonodavne mjere nacionalnog parlamenta ili mjere koja se temelji na takvoj zakonodavnoj mjeri i kojom se utvrđuje priroda obrade te predviđaju odgovarajuće mjere zaštite.

Amandman  48

Prijedlog Uredbe

Uvodna izjava 74.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(74.a) Procjene učinka mogu biti od pomoći samo ako nadzornici osiguraju njihovu usklađenost s jamstvima koja su u njima izvorno utvrđena. Nadzornici podataka stoga bi trebali provoditi periodične provjere sukladnosti sa zaštitom podataka pokazujući da su mehanizmi za obradu podataka koji se koriste u skladu jamstvima danim u procjeni učinka zaštite podataka. Nadalje bi trebalo dokazati sposobnost usklađenosti nadzornika podataka sa samostalnim izborom osoba čiji se podaci obrađuju. Osim toga ako provjera pokaže nedosljednost sukladnosti, potrebno ih je istaknuti i dati preporuke za postizanje potpune sukladnosti.

Amandman  49

Prijedlog Uredbe

Uvodna izjava 75.

Tekst koji je predložila Komisija

Izmjena

(75) Ako se obrada provodi u javnom sektoru ili ako obradu u privatnom sektoru provodi veliko poduzeće ili ako osnovne djelatnosti poduzeća bez obzira na njegovu veličinu obuhvaćaju postupke obrade koji zahtijevaju redovito i sustavno praćenje, službenik bi trebao pomagati nadzorniku ili obrađivaču pri nadzoru unutarnje usklađenosti s ovom Uredbom. Takvi službenici za zaštitu podataka trebali bi biti u stanju obavljati svoje dužnosti i zadatke samostalno, bez obzira na to jesu li zaposleni kod nadzornika ili ne.

 

(75) Ako se obrada provodi u javnom sektoru ili ako se, u privatnom sektoru, obrada odnosi na više od 5000 osoba čiji se podaci obrađuju tijekom 12 mjeseci ili ako osnovne djelatnosti poduzeća bez obzira na njegovu veličinu obuhvaćaju postupke obrade osjetljivih podataka ili postupke obrade koji zahtijevaju redovito i sustavno praćenje, službenik bi trebao pomagati nadzorniku ili obrađivaču pri nadzoru unutarnje usklađenosti s ovom Uredbom. Kada se utvrđuje jesu li obrađeni podaci o velikom broju osoba čiji se podaci obrađuju, ne treba uzeti u obzir arhivirane podatke koji su ograničeni na takav način da nisu podložni normalnom pristupu podacima i postupcima obrade nadzornika te se više ne mogu mijenjati. Takvi službenici za zaštitu podataka, bez obzira na to jesu li zaposleni kod nadzornika ili ne i bez obzira na to ispunjavaju li tu zadaću u punom radnom vremenu ili ne, trebali bi biti u stanju obavljati svoje dužnosti i zadatke samostalno i biti posebno zaštićeni od otpuštanja s posla. Konačnu odgovornost trebala bi imati uprava organizacije. Sa službenikom za zaštitu podataka trebalo bi se posebno savjetovati prije dizajniranja, nabave, razvoja i uspostavljanja sustava za automatsku obradu osobnih podataka kako bi se osigurala načela tehničkih rješenja zaštite privatnosti i integrirane zaštite privatnosti.

Amandman  50

Prijedlog Uredbe

Uvodna izjava 75.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(75.a) Službenik za zaštitu podataka trebao bi imati barem sljedeće kvalifikacije: opsežno znanje o sadržaju i primjeni zakona o zaštiti podataka, uključujući tehničke i organizacijske mjere i postupke; vladanje tehničkim zahtjevima za tehnička rješenja zaštite privatnosti, integrirane zaštite privatnosti i sigurnosti podataka; znanje specifično za granu industrije u skladu s veličinom nadzornika ili obrađivača i osjetljivosti podataka koje treba obraditi; sposobnost provođenja pregleda, savjetovanja, dokumentacije i analiza log podataka; i sposobnost rada s predstavnicima zaposlenih. Nadzornik bi trebao omogućiti službeniku za zaštitu podataka da sudjeluje u naprednim mjerama obuke za održavanje specijaliziranog znanja koje mu je potrebno za obavljanje njegovih dužnosti. Imenovanje za službenika za zaštitu podataka ne zahtijeva nužno puno radno vrijeme dotičnog zaposlenika.

Amandman  51

Prijedlog Uredbe

Uvodna izjava 76.

Tekst koji je predložila Komisija

Izmjena

(76) Udruge ili druga tijela koja predstavljaju kategorije nadzornika trebalo bi poticati da u skladu s ovom Uredbom i uzimajući u obzir posebne značajke obrade koja se provodi u određenim sektorima izrade kodekse ponašanja kako bi se pospješila djelotvorna primjena ove Uredbe.

(76) Udruge ili druga tijela koja predstavljaju kategorije nadzornika trebalo bi poticati, nakon savjetovanja s predstavnicima zaposlenih, da u skladu s ovom Uredbom i uzimajući u obzir posebne značajke obrade koja se provodi u određenim sektorima izrade kodekse ponašanja kako bi se pospješila djelotvorna primjena ove Uredbe. Takvi kodeksi trebali bi industriji olakšati usklađenost s ovom Uredbom.

Amandman  52

Prijedlog Uredbe

Uvodna izjava 77.

Tekst koji je predložila Komisija

Izmjena

(77) Kako bi se povećala transparentnost i usklađenost s ovom Uredbom, trebalo bi se poticati uvođenje mehanizama certificiranja, pečata i oznaka za zaštitu podataka, što bi osobama čiji se podaci obrađuju omogućilo brzu procjenu razine zaštite podataka za relevantne proizvode i usluge.

(77) Kako bi se povećala transparentnost i usklađenost s ovom Uredbom, trebalo bi se poticati uvođenje mehanizama certificiranja, pečata i standardiziranih oznaka za zaštitu podataka, što bi osobama čiji se podaci obrađuju omogućilo brzu, pouzdanu i provjerljivu procjenu razine zaštite podataka za relevantne proizvode i usluge. „Europski pečat za zaštitu podataka” trebao bi biti uspostavljen na europskoj razini kako bi stvorio povjerenje među osobama čiji se podaci obrađuju i pravnu sigurnost za nadzornike te kako bi se istovremeno izvozili europski standardi zaštite podataka koji bi neeuropskim poduzećima omogućili da s pomoću certifikata lakše uđu na europska tržišta.

Amandman  53

Prijedlog Uredbe

Uvodna izjava 79.

Tekst koji je predložila Komisija

Izmjena

(79) Ovom se Uredbom ne dovode u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući i odgovarajuće mjere zaštite osoba čiji se podaci obrađuju.

(79) Ovom se Uredbom ne dovode u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući i odgovarajuća jamstva za osobe čiji se podaci obrađuju, osiguravajući primjerenu razinu zaštite temeljnih prava državljana.

Amandman  54

Prijedlog Uredbe

Uvodna izjava 80.

Tekst koji je predložila Komisija

Izmjena

(80) Komisija može odlučiti s učinkom na cijelu Uniju da određene treće zemlje, ili teritorij ili sektor u kojem se vrši obrada u trećoj zemlji ili međunarodna organizacija pružaju odgovarajuću razinu zaštite podataka te na taj način pružaju pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim slučajevima prijenosi osobnih podataka u ove zemlje mogu se obaviti bez bilo kakvog dodatnog odobrenja.

(80) Komisija može odlučiti s učinkom na cijelu Uniju da određene treće zemlje, ili teritorij ili sektor u kojem se vrši obrada u trećoj zemlji ili međunarodna organizacija pružaju odgovarajuću razinu zaštite podataka te na taj način pružaju pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. Komisija također može odlučiti da će povući takvu odluku, uz obavijest i potpuno obrazloženje trećoj zemlji.

Amandman  55

Prijedlog Uredbe

Uvodna izjava 82.

Tekst koji je predložila Komisija

Izmjena

(82) Komisija isto tako može prepoznati da treća zemlja, ili teritorij ili sektor u kojem se vrši obrada u toj trećoj zemlji ili međunarodna organizacija ne pružaju odgovarajuću razinu zaštite podataka. Prijenos osobnih podataka u tu treću zemlju trebalo bi stoga zabraniti. U tom bi slučaju trebalo predvidjeti postupke za savjetovanja između Komisije i takvih trećih zemalja ili međunarodnih organizacija.

(82) Komisija isto tako može prepoznati da treća zemlja, ili teritorij ili sektor u kojem se vrši obrada u toj trećoj zemlji ili međunarodna organizacija ne pružaju odgovarajuću razinu zaštite podataka. Svako zakonodavstvo kojim je predviđen izvanteritorijalni pristup osobnim podacima obrađenim u Uniji bez odobrenja u skladu sa zakonom Unije ili države članice treba smatrati pokazateljem nedostatka odgovarajuće razine zaštite. Prijenos osobnih podataka u tu treću zemlju trebalo bi stoga zabraniti. U tom bi slučaju trebalo predvidjeti postupke za savjetovanja između Komisije i takvih trećih zemalja ili međunarodnih organizacija.

Amandman  56

Prijedlog Uredbe

Uvodna izjava 83.

Tekst koji je predložila Komisija

Izmjena

(83) Ako se ne donese odluka o odgovarajućoj razini zaštite, nadzornik ili obrađivač trebali bi, kako bi se nadoknadilo pomanjkanje zaštite podataka u trećoj zemlji, poduzeti odgovarajuće mjere zaštite za osobu čiji se podaci obrađuju. Takve odgovarajuće mjere zaštite mogu obuhvaćati uporabu obvezujućih pravila poduzeća, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo ili druge primjerene i razmjerne mjere koje su opravdane na temelju okolnosti postupka prijenosa podataka ili skupa postupaka prijenosa podataka i koje je odobrilo nadzorno tijelo.

(83) Ako se ne donese odluka o odgovarajućoj razini zaštite, nadzornik ili obrađivač trebali bi, kako bi se nadoknadilo pomanjkanje zaštite podataka u trećoj zemlji, poduzeti odgovarajuće mjere zaštite za osobu čiji se podaci obrađuju. Takve odgovarajuće mjere zaštite mogu obuhvaćati uporabu obvezujućih pravila poduzeća, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo. Te odgovarajuće mjere zaštite trebale bi podupirati poštovanje prava osobe čiji se podaci obrađuju primjereno obradi unutar EU-a, a posebno u odnosu na ograničenje namjene, pravo pristupa, ispravljanje, brisanje i traženje naknade. Te mjere zaštite naročito bi trebale jamčiti poštovanje načela obrade osobnih podataka, štititi prava osobe čiji se podaci obrađuju i predvidjeti učinkovite mehanizme pravne zaštite, osigurati poštovanje načela tehničke i integrirane zaštite podataka, jamčiti postojanje službenika za zaštitu podataka.

Amandman  57

Prijedlog Uredbe

Uvodna izjava 84.

Tekst koji je predložila Komisija

Izmjena

(84) Mogućnost koju ima nadzornik ili obrađivač da koristi standardne klauzule o zaštiti podataka koje je usvojila Komisija ili nadzorno tijelo ne bi ga trebala sprečavati u tome da standardne klauzule o zaštiti podataka uključi i u opsežnije ugovore ili da dodaje druge klauzule, dokle god one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je usvojila Komisija ili nadzorno tijelo ili ne dovode u pitanje temeljna prava i slobode osoba čiji se podaci obrađuju.

(84) Mogućnost koju ima nadzornik ili obrađivač da koristi standardne klauzule o zaštiti podataka koje je usvojila Komisija ili nadzorno tijelo ne bi ga trebala sprečavati u tome da standardne klauzule o zaštiti podataka uključi i u opsežnije ugovore ili da dodaje druge klauzule ili dodatne mjere zaštite, dokle god one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je usvojila Komisija ili nadzorno tijelo ili ne dovode u pitanje temeljna prava i slobode osoba čiji se podaci obrađuju. Standardne klauzule o zaštiti podataka koje je usvojila Komisija mogle bi obuhvatiti različite situacije odnosno prijenose od nadzornika s poslovnim nastanom u Europskoj uniji do nadzornika s poslovnim nastanom izvan Europske unije i od nadzornika s poslovnim nastanom u Europskoj uniji do obrađivača, uključujući podobrađivače, s poslovnim nastanom izvan Europske unije. Nadzornike i obrađivače treba poticati da osiguraju još snažnije mjere zaštite preko dodatnih ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti.

Amandman  58

Prijedlog Uredbe

Uvodna izjava 85.

Tekst koji je predložila Komisija

Izmjena

(85) Grupa poduzetnika bi za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika trebala moći primijeniti odobrena obvezujuća pravila poduzeća dokle god takva pravila poduzeća obuhvaćaju temeljna načela i ostvariva prava kojima se osiguravaju odgovarajuće mjere zaštite za prijenose ili skup prijenosa osobnih podataka.

(85) Grupa poduzetnika bi za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika trebala moći primijeniti odobrena obvezujuća pravila poduzeća dokle god takva pravila poduzeća obuhvaćaju sva temeljna načela i ostvariva prava kojima se osiguravaju odgovarajuća jamstva za prijenose ili skup prijenosa osobnih podataka.

Amandman  59

Prijedlog Uredbe

Uvodna izjava 86.

Tekst koji je predložila Komisija

Izmjena

(86) Trebalo bi predvidjeti mogućnost prijenosa u određenim okolnostima ako je osoba čiji se podaci obrađuju dala svoju suglasnost, ako je prijenos potreban na temelju ugovora ili pravnog zahtjeva, ako je potreban radi važnog javnog interesa utvrđenog zakonodavstvom Unije države članice ili ako se obavlja iz evidencije koja je u skladu sa zakonom namijenjena uvidu javnosti ili osoba koje imaju legitimni interes. U potonjem slučaju takav prijenos ne bi smio uključivati cjelokupne podatke ili cjelokupne skupove podataka koje sadrži evidencija i, ako je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili ako su te osobe primatelji.

(86) Trebalo bi predvidjeti mogućnost prijenosa u određenim okolnostima ako je osoba čiji se podaci obrađuju dala svoju suglasnost, ako je prijenos potreban na temelju ugovora ili pravnog zahtjeva, ako je potreban radi važnog javnog interesa utvrđenog zakonodavstvom Unije države članice ili ako se obavlja iz evidencije koja je u skladu sa zakonom namijenjena uvidu javnosti ili osoba koje imaju legitimni interes. U potonjem slučaju takav prijenos ne bi smio uključivati cjelokupne podatke ili cjelokupne skupove podataka koje sadrži evidencija i, ako je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava osobe čiji se podaci obrađuju.

Amandman  60

Prijedlog Uredbe

Uvodna izjava 87.

Tekst koji je predložila Komisija

Izmjena

(87) Ta bi odstupanja posebno trebala važiti za prijenose podataka koji su potrebni radi zaštite nekog važnog javnog interesa, na primjer u slučajevima međunarodnog prijenosa podataka između tijela za zaštitu tržišnog natjecanja, poreznih i carinskih tijela, tijela za financijski nadzor, između službi nadležnih za pitanja socijalnog osiguranja, ili prijenosa u nadležna tijela za sprečavanje, istragu, otkrivanje i progon kaznenih djela.

(87) Ta bi odstupanja posebno trebala važiti za prijenose podataka koji su potrebni radi zaštite nekog važnog javnog interesa, na primjer u slučajevima međunarodnog prijenosa podataka između tijela za zaštitu tržišnog natjecanja, poreznih i carinskih tijela, tijela za financijski nadzor, između službi nadležnih za pitanja socijalnog osiguranja ili javnog zdravlja, ili prijenosa u nadležna javna tijela za sprečavanje, istragu, otkrivanje i progon kaznenih djela, uključujući za sprečavanje pranja novca i borbu protiv financiranja terorista. Prijenos osobnih podataka jednako tako treba smatrati zakonitim ako je potrebno zaštititi interes koji je ključan za život osobe čiji se podaci obrađuju ili neke druge osobe ako osoba čiji se podaci obrađuju nije sposobna dati svoju suglasnost. Prijenos osobnih podataka radi tako važnog javnog interesa treba upotrebljavati samo za povremene prijenose. U svakom slučaju treba provesti pažljivu procjenu svih okolnosti prijenosa.

Amandman  61

Prijedlog Uredbe

Uvodna izjava 88.

Tekst koji je predložila Komisija

Izmjena

(88) Prijenosi koji se ne mogu opisati kao česti ili masivni mogli bi se također obavljati zbog legitimnih interesa nadzornika ili obrađivača ako su oni ocijenili sve okolnosti oko prijenosa podataka. Za obrade u svrhe povijesnog, statističkog i znanstvenog istraživanja, trebala bi se uzeti u obzir opravdana očekivanja društva u pogledu povećanja znanja.

Za obrade u svrhe povijesnog, statističkog i znanstvenog istraživanja, trebala bi se uzeti u obzir opravdana očekivanja društva u pogledu povećanja znanja.

Amandman  62

Prijedlog Uredbe

Uvodna izjava 89.

Tekst koji je predložila Komisija

Izmjena

(89) U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, nadzornik ili obrađivač trebali bi iskoristiti rješenja kojima se osobama čiji se podaci obrađuju jamči da će i nakon prijenosa tih podataka moći ostvariti temeljna prava i mjere zaštite pri obradi svojih podataka u Uniji.

(89) U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, nadzornik ili obrađivač trebali bi iskoristiti rješenja kojima se osobama čiji se podaci obrađuju pravno obvezujuće jamči da će i nakon prijenosa tih podataka moći ostvariti temeljna prava i mjere zaštite pri obradi svojih podataka u Uniji, u toj mjeri da obrada nije masivna, da se ne ponavlja i da nije strukturalna. To jamstvo treba uključivati ​​financijsku naknadu štete u slučajevima gubitka ili neovlaštenog pristupa ili obrade podataka te obvezu, neovisno o nacionalnom zakonodavstvu, osiguravanja potpunih pojedinosti o svim pristupima podacima javnih tijela u trećim zemljama.

Amandman  63

Prijedlog Uredbe

Uvodna izjava 90.

Tekst koji je predložila Komisija

Izmjena

(90) Neke treće zemlje donose zakone, uredbe i druge zakonodavne instrumente kojima se izravno uređuju aktivnosti obrade podataka koje provode fizičke i pravne osobe u nadležnosti država članica. Primjenom tih zakona, uredbi i drugih zakonodavnih instrumenata izvan državnog teritorija moglo bi se kršiti međunarodno pravo i otežati postizanje zaštite pojedinaca koja se ovom Uredbom jamči u Uniji. . Prijenosi bi se trebali dopustiti samo onda kad su zadovoljeni uvjeti ove Uredbe za prijenos u treće zemlje. To može na primjer biti slučaj kad je otkrivanje podataka potrebno zbog važnog javnog interesa utvrđenog zakonodavstvom Unije ili države članice kojemu podliježe nadzornik. Uvjete postojanja važnog javnog interesa trebala bi detaljnije odrediti Komisija delegiranim aktom.

(90) Neke treće zemlje donose zakone, uredbe i druge zakonodavne instrumente kojima se izravno uređuju aktivnosti obrade podataka koje provode fizičke i pravne osobe u nadležnosti država članica. Primjenom tih zakona, uredbi i drugih zakonodavnih instrumenata izvan državnog teritorija moglo bi se kršiti međunarodno pravo i otežati postizanje zaštite pojedinaca koja se ovom Uredbom jamči u Uniji. Prijenosi bi se trebali dopustiti samo onda kad su zadovoljeni uvjeti ove Uredbe za prijenos u treće zemlje. To može na primjer biti slučaj kad je otkrivanje podataka potrebno zbog važnog javnog interesa utvrđenog zakonodavstvom Unije ili države članice kojemu podliježe nadzornik. Uvjete postojanja važnog javnog interesa trebala bi detaljnije odrediti Komisija delegiranim aktom. U slučajevima u kojima su nadzornici ili obrađivači suočeni s proturječnim zahtjevima usklađenosti između nadležnosti Unije s jedne strane i nadležnosti treće zemlje s druge strane Komisija bi trebala osigurati da primat uvijek ima pravo Unije. Komisija bi trebala osigurati vodstvo i pomoć nadzorniku i obrađivaču te nastojati riješiti pravni sukob s trećom zemljom o kojoj je riječ.

Amandman  64

Prijedlog Uredbe

Uvodna izjava 92.

Tekst koji je predložila Komisija

Izmjena

(92) Uspostava nadzornih tijela u državama članicama, koje potpuno samostalno provode svoje funkcije ključna je sastavnica zaštite pojedinaca pri obradi njihovih osobnih podataka. Države članice smiju uspostaviti više od jednoga nadzornog tijela, ako to odražava njihovu ustavnu, organizacijsku i administrativnu strukturu.

(92) Uspostava nadzornih tijela u državama članicama, koje potpuno samostalno provode svoje funkcije ključna je sastavnica zaštite pojedinaca pri obradi njihovih osobnih podataka. Države članice smiju uspostaviti više od jednoga nadzornog tijela, ako to odražava njihovu ustavnu, organizacijsku i administrativnu strukturu. Tijelo mora imati odgovarajuće financijske i osobne resurse kako bi u potpunosti izvršavalo svoju ulogu, uzimajući u obzir broj stanovništva i količinu obrade osobnih podataka.

Amandman  65

Prijedlog Uredbe

Uvodna izjava 94.

Tekst koji je predložila Komisija

Izmjena

(94) Svako bi nadzorno tijelo trebalo imati odgovarajuće financijske i ljudske resurse, prostore i infrastrukturu, koji su neophodni za učinkovito obavljanje njihovih zadataka, uključujući i zadataka vezanih uz uzajamnu pomoć i suradnju s ostalim nadzornim tijelima u cijeloj Uniji.

(94) Svako bi nadzorno tijelo trebalo imati odgovarajuće financijske i ljudske resurse, pridajući posebnu pozornost osiguravanju odgovarajućih tehničkih i pravnih vještina osoblja, prostore i infrastrukturu, koji su neophodni za učinkovitu provedbu njihovih zadataka, uključujući i zadatke vezane uz obostranu pomoć i suradnju s ostalim nadzornim tijelima u cijeloj Uniji.

Amandman  66

Prijedlog Uredbe

Uvodna izjava 95.

Tekst koji je predložila Komisija

Izmjena

(95) Opći uvjeti za članove nadzornog tijela trebali bi biti utvrđeni zakonom u svakoj državi članici te bi osobito trebali predvidjeti da te članove imenuje ili parlament ili vlada dotične države članice te bi trebali obuhvaćati pravila o osobnim kvalifikacijama članova i njihovom položaju.

(95) Opći uvjeti za članove nadzornog tijela trebali bi biti utvrđeni zakonom u svakoj državi članici te bi osobito trebali predvidjeti da te članove imenuje ili parlament ili vlada dotične države članice, vodeći brigu o smanjenju mogućnosti političkog uplitanja, te bi trebali obuhvaćati pravila o osobnim kvalifikacijama članova, izbjegavanju konflikta interesa i njihovom položaju.

Amandman  67

Prijedlog Uredbe

Uvodna izjava 97.

Tekst koji je predložila Komisija

Izmjena

(97) Ako se obrada osobnih podataka u sklopu aktivnosti poslovnog nastana nadzornika ili obrađivača u Uniji provodi u više država članica, za nadzor aktivnosti nadzornika ili obrađivača u cijeloj Uniji trebalo bi biti nadležno samo jedno nadzorno tijelo, čime bi se povećala dosljednost primjene, pružila pravna sigurnost i smanjio administrativni teret za takve nadzornike ili obrađivače.

(97) Ako se obrada osobnih podataka u sklopu aktivnosti poslovnog nastana nadzornika ili obrađivača u Uniji provodi u više država članica, kao jedinstvena kontaktna točka i vodeće tijelo nadležno za nadzor nadzornika ili obrađivača u cijeloj Uniji i za donošenje relevantnih odluka trebalo bi biti nadležno samo jedno nadzorno tijelo, čime bi se povećala dosljednost primjene, pružila pravna sigurnost i smanjio administrativni teret za takve nadzornike ili obrađivače.

Amandman  68

Prijedlog Uredbe

Uvodna izjava 98.

Tekst koji je predložila Komisija

Izmjena

(98) Nadležno tijelo, koje bi pružalo sve usluge na jednom mjestu, trebalo bi biti nadzorno tijelo države članice u kojoj nadzornik ili obrađivač ima svoj glavni poslovni nastan.

(98) Vodeće tijelo, koje bi pružalo sve usluge na jednom mjestu, trebalo bi biti nadzorno tijelo države članice u kojoj nadzornik ili obrađivač ima svoj glavni poslovni nastan ili svojeg predstavnika. Europski odbor za zaštitu podataka na zahtjev nadležnog tijela u određenim slučajevima može imenovati vodeće tijelo preko mehanizma za usklađivanje.

Amandman  69

Prijedlog Uredbe

Uvodna izjava 98.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(98.a) Osobe čiji se podaci obrađuju i čije podatke obrađuje nadzornik ili obrađivač u drugoj državi članici trebale bi imati mogućnost žalbe nadzornom tijelu koje izaberu. Vodeće tijelo za zaštitu podataka trebalo bi uskladiti svoj rad s radom ostalih uključenih tijela.

Amandman  70

Prijedlog Uredbe

Uvodna izjava 101.

Tekst koji je predložila Komisija

Izmjena

(101) Svako nadzorno tijelo trebalo bi razmotriti žalbe koje uloži bilo koja osoba čiji se podaci obrađuju i istražiti to pitanje. Istragu pokrenutu na temelju žalbe treba sukladno sudskom preispitivanju provesti u mjeri koja je za određeni slučaj primjerena. Nadzorno tijelo trebalo bi u razumnom roku obavijestiti osobu čiji se podaci obrađuju o tijeku i ishodu žalbe. Ako slučaj zahtijeva daljnju provjeru ili usklađivanje s drugim nadzornim tijelom, osobu čiji se podaci obrađuju trebalo bi obavijestiti da je provjera u tijeku.

(101) Svako nadzorno tijelo trebalo bi razmotriti žalbe koje uloži bilo koja osoba čiji se podaci obrađuju ili udruga koja djeluje u javnom interesu i istražiti to pitanje. Istragu pokrenutu na temelju žalbe treba sukladno sudskom preispitivanju provesti u mjeri koja je za određeni slučaj primjerena. Nadzorno tijelo trebalo bi u razumnom roku obavijestiti osobu čiji se podaci obrađuju ili udrugu o tijeku i ishodu žalbe. Ako slučaj zahtijeva daljnju provjeru ili usklađivanje s drugim nadzornim tijelom, osobu čiji se podaci obrađuju trebalo bi obavijestiti da je provjera u tijeku.

Amandman  71

Prijedlog Uredbe

Uvodna izjava 105.

Tekst koji je predložila Komisija

Izmjena

(105) Kako bi se osigurala dosljedna primjena ove Uredbe u cijeloj Uniji, za suradnju nadzornih tijela jednih s drugima i Komisije trebao bi se uspostaviti mehanizam za usklađivanje. Taj bi se mehanizam trebao primjenjivati osobito u slučajevima kad nadzorno tijelo namjerava poduzeti mjeru u vezi s postupcima obrade koji su povezani s ponudom proizvoda ili usluga u nekoliko država članica osobama čiji se podaci obrađuju ili s praćenjem takvih osoba ili koji bi mogli znatno utjecati na slobodni protok osobnih podataka. Mehanizam bi se također trebao primjenjivati u slučajevima kad bilo koje nadzorno tijelo ili Komisija zatraži da se predmet razmotri u okviru mehanizma za usklađivanje. Taj mehanizam ne bi smio dovoditi u pitanje druge mjere koje Komisija može poduzeti izvršavajući svoje ovlasti u skladu s Ugovorima.

(105) Kako bi se osigurala dosljedna primjena ove Uredbe u cijeloj Uniji, za suradnju nadzornih tijela jednih s drugima i Komisije trebao bi se uspostaviti mehanizam za usklađivanje. Taj bi se mehanizam trebao primjenjivati osobito u slučajevima kad nadzorno tijelo namjerava poduzeti mjeru u vezi s postupcima obrade koji su povezani s ponudom proizvoda ili usluga u nekoliko država članica osobama čiji se podaci obrađuju ili s praćenjem takvih osoba ili koji bi mogli znatno utjecati na slobodni protok osobnih podataka. Mehanizam bi se također trebao primjenjivati u slučajevima kad bilo koje nadzorno tijelo ili Komisija zatraži da se predmet razmotri u okviru mehanizma za usklađivanje. Nadalje, osobe čiji se podaci obrađuju trebale bi imati pravo ostvarivanja usklađenosti ako smatraju da mjera tijela za zaštitu podataka države članice nije ispunila taj kriterij. Taj mehanizam ne bi smio dovoditi u pitanje druge mjere koje Komisija može poduzeti izvršavajući svoje ovlasti u skladu s Ugovorima.

Amandman    72

Prijedlog Uredbe

Uvodna izjava 106.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(106.a) Kako bi se osigurala dosljedna primjena ove Uredbe, Europski odbor za zaštitu podataka može u pojedinačnim slučajevima donijeti odluku koja je obvezujuća za nadležna nadzorna tijela.

Amandman  73

Prijedlog Uredbe

Uvodna izjava 107.

Tekst koji je predložila Komisija

Izmjena

(107) Kako bi se osigurala usklađenost s ovom Uredbom, Komisija može donijeti mišljenje o tom pitanju ili odluku kojom se od nadzornog tijela zahtijeva da povuče svoj nacrt mjere.

 

Briše se.

Amandman  74

Prijedlog Uredbe

Uvodna izjava 110.

Tekst koji je predložila Komisija

Izmjena

Na razini Unije trebao bi se osnovati Europski odbor za zaštitu podataka. On bi trebao zamijeniti Radnu skupinu za zaštitu pojedinaca pri obradi osobnih podataka koja je uspostavljena Direktivom 95/46/EZ. Trebao bi se sastojati od predsjednika nadzornog tijela svake države članice i europskog nadzornika za zaštitu podataka. Komisija bi trebala sudjelovati u njegovim aktivnostima. Europski odbor za zaštitu podataka trebao bi pridonijeti dosljednoj primjeni ove Uredbe u cijeloj Uniji, između ostalog savjetovanjem Komisije i promicanjem suradnje između nadzornih tijela u cijeloj Uniji. Europski odbor za zaštitu podataka trebao bi biti neovisan u izvršavanju svojih zadaća.

Na razini Unije trebao bi se osnovati Europski odbor za zaštitu podataka. On bi trebao zamijeniti Radnu skupinu za zaštitu pojedinaca pri obradi osobnih podataka koja je uspostavljena Direktivom 95/46/EZ. Trebao bi se sastojati od predsjednika nadzornog tijela svake države članice i europskog nadzornika za zaštitu podataka. Europski odbor za zaštitu podataka trebao bi pridonijeti dosljednoj primjeni ove Uredbe u cijeloj Uniji, između ostalog savjetovanjem institucija Unije i promicanjem suradnje između nadzornih tijela u cijeloj Uniji, uključujući koordinaciju zajedničkih mjera. Europski odbor za zaštitu podataka trebao bi biti neovisan u izvršavanju svojih zadaća. Europski odbor za zaštitu podataka trebao bi ojačati dijalog sa zainteresiranim dionicima kao što su udruge osoba čiji se podaci obrađuju, organizacije potrošača, nadzornici podataka i ostali relevantni dionici i stručnjaci.

Amandman  75

Prijedlog Uredbe

Uvodna izjava 111.

Tekst koji je predložila Komisija

Izmjena

Svaka osoba čiji se podaci obrađuju trebala bi imati pravo uložiti žalbu nadzornome tijelu u bilo kojoj državi članici te pravo na pravni lijek ako smatra da su joj prava prema ovoj Uredbi povrijeđena ili u slučaju kad nadzorno tijelo ne reagira na žalbu ili ne poduzima nikakve korake, a kad je takav korak potreban za zaštitu prava osobe čiji se podaci obrađuju.

(111) Osobe čiji se podaci obrađuju trebale bi imati pravo uložiti žalbu nadzornome tijelu u bilo kojoj državi članici te pravo na učinkovit pravni lijek u skladu s člankom 47. Povelje o temeljnim pravima ako smatraju da su im prava prema ovoj Uredbi povrijeđena ili u slučaju kad nadzorno tijelo ne reagira na žalbu ili ne poduzima nikakve korake, a kad je takav korak potreban za zaštitu prava osobe čiji se podaci obrađuju.

Amandman  76

Prijedlog Uredbe

Uvodna izjava 112.

Tekst koji je predložila Komisija

Izmjena

(112) Svako tijelo, organizacija ili udruga kojoj je cilj zaštiti prava i interese osoba čiji se podaci obrađuju u vezi sa zaštitom njihovih podataka te je osnovana u skladu sa zakonodavstvom države članice trebala bi imati pravo uložiti žalbu nadzornom tijelu ili ostvariti pravo na pravni lijek u ime osoba čiji se podaci obrađuju, ili imati pravo, neovisno o žalbi osobe čiji se podaci obrađuju, uložiti vlastitu žalbu ako smatra da je došlo do povrede osobnih podataka.

(112) Svako tijelo, organizacija ili udruga koja djeluje u javnom interesu te je osnovana u skladu sa zakonodavstvom države članice trebala bi imati pravo uložiti žalbu nadzornom tijelu u ime osoba čiji se podaci obrađuju i uz njihovu suglasnost ili ostvariti pravo na pravni lijek ako ju je za to ovlastila osoba čiji se podaci obrađuju, ili imati pravo, neovisno o žalbi osobe čiji se podaci obrađuju, uložiti vlastitu žalbu ako smatra da je došlo do povrede ove Uredbe.

Amandman               77

Prijedlog Uredbe

Uvodna izjava 114.

Tekst koji je predložila Komisija

Izmjena

Kako bi se ojačala sudska zaštita osoba čiji se podaci obrađuju u slučajevima kad nadležno nadzorno tijelo ima poslovni nastan u drugoj državi članici od one u kojoj osoba čiji se podaci obrađuju boravi, dotična osoba može zatražiti od bilo kojeg tijela, organizacije ili udruge kojoj je cilj zaštiti prava i interese osoba čiji se podaci obrađuju u vezi sa zaštitom njihovih podataka da u njezino ime na nadležnom sudu u drugoj državi članici pokrene postupak protiv tog nadzornog tijela.

(114) Kako bi se ojačala sudska zaštita osoba čiji se podaci obrađuju u slučajevima kad nadležno nadzorno tijelo ima poslovni nastan u drugoj državi članici od one u kojoj osoba čiji se podaci obrađuju boravi, dotična osoba može ovlastiti bilo koje tijelo, organizaciju ili udrugu koja djeluje u javnom interesu da na nadležnom sudu u drugoj državi članici pokrene postupak protiv tog nadzornog tijela.

Amandman  78

Prijedlog Uredbe

Uvodna izjava 115.

Tekst koji je predložila Komisija

Izmjena

(115) U slučajevima kad nadležno nadzorno tijelo s poslovnim nastanom u drugoj državi članici ne reagira ili ne poduzima dostatne mjere u pogledu žalbe, osoba čiji se podaci obrađuju može zatražiti od nadzornog tijela u državi članici njezinog uobičajenog boravišta da na nadležnom sudu u drugoj državi članici pokrene postupak protiv tog nadzornog tijela. Nadzorno tijelo kojemu je podnesen zahtjev može na temelju sudskog preispitivanja odlučiti je li primjereno udovoljiti zahtjevu ili ne.

(115) U slučajevima kad nadležno nadzorno tijelo s poslovnim nastanom u drugoj državi članici ne reagira ili ne poduzima dostatne mjere u pogledu žalbe, osoba čiji se podaci obrađuju može zatražiti od nadzornog tijela u državi članici njezinog uobičajenog boravišta da na nadležnom sudu u drugoj državi članici pokrene postupak protiv tog nadzornog tijela. To se ne primjenjuje na osobe koje nemaju prebivalište u EU-u. Nadzorno tijelo kojemu je podnesen zahtjev može na temelju sudskog preispitivanja odlučiti je li primjereno udovoljiti zahtjevu ili ne.

Amandman               79

Prijedlog Uredbe

Uvodna izjava 116.

Tekst koji je predložila Komisija

Izmjena

(116) Tužitelj bi trebao imati pravo pokrenuti postupke protiv nadzornika ili obrađivača na sudu u državi članici u kojoj nadzornik ili obrađivač ima poslovni nastan ili u kojoj osoba čiji se podaci obrađuju boravi, osim ako je nadzornik javno tijelo koje izvršava svoje javne ovlasti.

(116) Tužitelj bi trebao imati pravo pokrenuti postupke protiv nadzornika ili obrađivača na sudu u državi članici u kojoj nadzornik ili obrađivač ima poslovni nastan ili, u slučaju boravišta u EU-u, u kojoj osoba čiji se podaci obrađuju boravi, osim ako je nadzornik javno tijelo Unije ili države članice koje izvršava svoje javne ovlasti.

Amandman  80

Prijedlog Uredbe

Uvodna izjava 118.

Tekst koji je predložila Komisija

Izmjena

(118) Svaku štetu koju osoba može pretrpjeti kao rezultat nezakonite obrade trebao bi nadoknaditi nadzornik ili obrađivač, kojeg se može izuzeti od odgovornosti ako se dokaže da nije odgovoran za štetu, osobito u slučaju kad utvrdi grešku osobe čiji se podaci obrađuju ili u slučaju više sile.

(118) Svaku štetu, materijalnu ili nematerijalnu, koju osoba može pretrpjeti kao rezultat nezakonite obrade trebao bi nadoknaditi nadzornik ili obrađivač, kojeg se može izuzeti od odgovornosti samo ako dokaže da on nije odgovoran za štetu, osobito u slučaju kad utvrdi grešku osobe čiji se podaci obrađuju ili u slučaju više sile.

Amandman  81

Prijedlog Uredbe

Uvodna izjava 119.

Tekst koji je predložila Komisija

Izmjena

(119) Sankcije bi trebalo nametnuti svakoj osobi, bilo da je uređena privatnim ili javnim pravom, koja se ne pridržava ove Uredbe. Države članice trebale bi zajamčiti učinkovite, proporcionalne i odvraćajuće sankcije te bi morale poduzeti sve mjere za njihovo provođenje.

Sankcije bi trebalo nametnuti svakoj osobi, bilo da je uređena privatnim ili javnim pravom, koja se ne pridržava ove Uredbe. Države članice trebale bi zajamčiti učinkovite, proporcionalne i odvraćajuće sankcije te bi morale poduzeti sve mjere za njihovo provođenje. Pravila o sankcijama trebala bi biti uvjetovana odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima zakonodavstva Unije i Povelje o temeljnim pravima, uključujući ona koja se odnose na pravo na učinkovit pravni lijek, odgovarajući postupak i načelo „ne bis in idem”.

Amandman  82

Prijedlog Uredbe

Uvodna izjava 119.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(119.a) U primjenjivanju sankcija države članice trebale bi u potpunosti poštovati odgovarajuće postupovne zaštitne mjere, uključujući pravo na učinkovit pravni lijek, odgovarajući postupak i načelo „ne bis in idem”.

Amandman  83

Prijedlog Uredbe

Uvodna izjava 121.

Tekst koji je predložila Komisija

Izmjena

(121) Za obradu osobnih podataka koja se provodi isključivo u svrhe novinarstva ili književnog ili umjetničkog izražavanja trebalo bi se primjenjivati izuzeće od zahtjeva određenih odredbi ove Uredbe kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i posebno s pravom na primanje i davanje informacije, kako je posebno zajamčeno člankom 11. Povelje Europske unije o temeljnim pravima. To bi se posebno trebalo primjenjivati na obradu osobnih podataka na audiovizualnom području te u novinskim i medijskim arhivima. Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava. Takva bi izuzeća i odstupanja države članice trebale usvojiti o općim načelima, o pravima osoba čiji se podaci obrađuju, o nadzorniku i obrađivaču, o prijenosu podataka u treće zemlje ili međunarodne organizacije, o neovisnim nadzornim tijelima te o suradnji i usklađenosti. To međutim ne bi trebalo navesti države članice na to da predvide izuzeća od drugih odredbi ove uredbe. Kako bi se vodilo računa o važnosti prava na slobodu mišljenja u svakom demokratskom društvu, pojmove vezane uz tu slobodu, kao što je novinarstvo, potrebno je tumačiti u širokom smislu. Stoga bi države članice u svrhu izuzeća i odstupanja predviđenih ovom Uredbom trebale označiti aktivnosti kao „novinarske” ako je predmet tih djelatnosti otkrivanje informacija, mišljenja ili ideja javnosti bez obzira na medij kojim se one prenose. Te aktivnosti ne bi smjele biti ograničene na medijske poduzetnike te se mogu i ne moraju obavljati u cilju stjecanja dobiti.

(121) Kad god je potrebno, trebalo bi osigurati izuzeća i odstupanja za obradu osobnih podataka od zahtjeva određenih odredbi ove Uredbe kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i posebno s pravom na primanje i davanje informacije, kako je posebno zajamčeno člankom 11. Povelje Europske unije o temeljnim pravima. Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava. Takva bi izuzeća i odstupanja države članice trebale usvojiti o općim načelima, o pravima osoba čiji se podaci obrađuju, o nadzorniku i obrađivaču, o prijenosu podataka u treće zemlje ili međunarodne organizacije, o neovisnim nadzornim tijelima, o suradnji i usklađenosti te o posebnim slučajevima obrade podataka. To međutim ne bi trebalo navesti države članice na to da predvide izuzeća od drugih odredbi ove uredbe. Kako bi se vodilo računa o važnosti prava na slobodu mišljenja u svakom demokratskom društvu, pojmove vezane uz tu slobodu potrebno je tumačiti u širokom smislu kako bi se pokrile sve djelatnosti s ciljem otkrivanja informacija, mišljenja ili ideja javnosti, bez obzira na medij kojim se prenose, uzimajući u obzir i tehnološki razvoj. Te aktivnosti ne bi smjele biti ograničene na medijske poduzetnike te se mogu i ne moraju obavljati u cilju stjecanja dobiti.

Amandman  84

Prijedlog Uredbe

Uvodna izjava 122.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(122.a) Stručnjak koji obrađuje osobne podatke o zdravstvenom stanju trebao bi, ako je moguće, primiti anonimizirane ili pseudonimizirane podatke, čime identitet osobe ostaje poznat samo liječniku opće prakse ili specijalistu koji je zatražio takvu obradu podataka.

Amandman  85

Prijedlog Uredbe

Uvodna izjava 123.

Tekst koji je predložila Komisija

Izmjena

(123) Zbog javnog interesa na području javnog zdravlja može biti potrebno provesti obradu osobnih podataka o zdravstvenom stanju bez suglasnosti osobe čiji se podaci obrađuju. U tom kontekstu „javno zdravlje” trebalo bi se tumačiti na način kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statistici Zajednice o javnom zdravlju i zdravlju i sigurnosti na radu, što uključuje sve elemente vezane uz zdravlje kao što su zdravstveno stanje, uključujući pobol i invalidnost, faktore koji utječu na zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenim službama, pružanje zdravstvenih usluga i opći pristup njima kao i troškove zdravstvene zaštite i njezino financiranje te uzroke smrtnosti. Takva obrada osobnih podataka o zdravstvenom stanju zbog javnog interesa ne bi smjela dovesti do toga da treće strane kao što su poslodavci, osiguravajuća društva i banke obrađuju osobne podatke u druge svrhe.

Zbog javnog interesa na području javnog zdravlja može biti potrebno provesti obradu osobnih podataka o zdravstvenom stanju bez suglasnosti osobe čiji se podaci obrađuju. U tom kontekstu „javno zdravlje” trebalo bi se tumačiti na način kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća, što uključuje sve elemente vezane uz zdravlje kao što su zdravstveno stanje, uključujući pobol i invalidnost, faktore koji utječu na zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenim službama, pružanje zdravstvenih usluga i opći pristup njima kao i troškove zdravstvene zaštite i njezino financiranje te uzroke smrtnosti.

 

Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statistici Zajednice o javnom zdravlju i zdravlju i sigurnosti na radu (SL L 354, 31.12.2008., str. 70.).

Amandman  86

Prijedlog Uredbe

Uvodna izjava 123.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(123.a) Obrada osobnih podataka o zdravstvenom stanju kao posebna kategorija podataka može biti potrebna radi povijesnog, statističkog ili znanstvenog istraživanja. Stoga je ovom Uredbom predviđeno izuzeće od zahtjeva za suglasnost u slučajevima istraživanja od važnog javnog interesa.

Amandman  87

Prijedlog Uredbe

Uvodna izjava 124.

Tekst koji je predložila Komisija

Izmjena

(124) Opća načela zaštite pojedinaca pri obradi osobnih podataka trebala bi se primjenjivati i pri zapošljavanju. Kako bi se uredila obrada osobnih podataka zaposlenika pri zapošljavanju, države članice trebale bi imati mogućnosti da u skladu s ovom Uredbom zakonski utvrde posebna pravila za obradu osobnih podataka u sektoru zapošljavanja.

(124) Opća načela zaštite pojedinaca pri obradi osobnih podataka trebala bi se primjenjivati i pri zapošljavanju i u kontekstu socijalne sigurnosti. Države članice trebale bi imati mogućnost uređivanja obrade osobnih podataka zaposlenika pri zapošljavanju i obrade osobnih podataka u kontekstu socijalne sigurnosti, u skladu s pravilima i minimalnim standardima iz ove Uredbe. Ako u državi članici o kojoj je riječ postoji zakonska osnova za uređivanje pitanja u vezi sa zapošljavanjem prema ugovoru između predstavnika zaposlenih i uprave poduzeća ili poduzetnika u vladajućem položaju grupe poduzetnika (kolektivni ugovor) ili u skladu s Direktivom 2009/38/EZ Europskog parlamenta i Vijeća, obrada osobnih podataka pri zapošljavanju može biti uređena i takvim ugovorom.

 

Uredba 2009/38/EZ Europskog parlamenta i Vijeća od 6. svibnja 2009. o uspostavljanju Europskog radničkog vijeća ili postupka u poduzećima koja posluju na razini Zajednice i grupacijama poduzeća koje posluju na razini Zajednice u svrhu obavješćivanja i savjetovanja s radnicima (SL L 122, 16.5.2009., str. 28.).

Amandman  88

Prijedlog Uredbe

Uvodna izjava 125.a (nova)

Tekst koji je predložila Komisija

Izmjena

 

(125.a) Osobni podaci mogu se obrađivati i naknadno u arhivskim službama čija je glavna zadaća ili obveza prikupljanje, pohranjivanje i pružanje informacija, korištenje i širenje arhive u javnom interesu. Zakonodavstvo države članice trebalo bi uskladiti pravo na zaštitu osobnih podataka s pravilima o arhivima i javnom pristupu administrativnim informacijama. Države članice trebale bi poticati sastavljanje pravila, naročito od strane Europske arhivske grupe, kako bi se zajamčila povjerljivost podataka s obzirom na treće strane te autentičnost, cjelovitost i pravilno pohranjivanje podataka.

Amandman                 89

Prijedlog Uredbe

Uvodna izjava 126.

Tekst koji je predložila Komisija

Izmjena

(126) Znanstvena istraživanja u smislu ove Uredbe trebala bi uključivati temeljna istraživanja, primijenjena istraživanja i privatno financirana istraživanja te bi osim toga trebala uzimati u obzir cilj Unije iz članka 179. stavka 1. Ugovora o funkcioniranju Europske unije u pogledu izgradnje Europskog istraživačkog prostora.

Znanstvena istraživanja u smislu ove Uredbe trebala bi uključivati temeljna istraživanja, primijenjena istraživanja i privatno financirana istraživanja te bi osim toga trebala uzimati u obzir cilj Unije iz članka 179. stavka 1. Ugovora o funkcioniranju Europske unije u pogledu izgradnje Europskog istraživačkog prostora. Obrada osobnih podataka u svrhe povijesnog, statističkog i znanstvenog istraživanja ne bi smjela dovesti do toga da se osobne podatke obrađuje u druge svrhe, osim uz suglasnost osoba čiji se podaci obrađuju ili na temelju zakonodavstva Unije ili države članice.

Amandman  90

Prijedlog Uredbe

Uvodna izjava 128.

Tekst koji je predložila Komisija

Izmjena

(128) Ovom se Uredbom poštuje i ne dovodi u pitanje status crkava i vjerskih udruga ili zajednica u zakonodavstvu država članica, kao što je priznato u članku 17. Ugovora o funkcioniranju Europske unije. Ako crkva u državi članici u trenutku stupanja na snagu ove Uredbe primijeni sveobuhvatna pravila u pogledu zaštite pojedinaca pri obradi osobnih podataka, ta bi se pravila trebala i dalje primjenjivati ako su usklađena s ovom Uredbom. Takve crkve i vjerske udruge trebale bi biti dužne uspostaviti potpuno neovisno nadzorno tijelo.

Ovom se Uredbom poštuje i ne dovodi u pitanje status crkava i vjerskih udruga ili zajednica u zakonodavstvu država članica, kao što je priznato u članku 17. Ugovora o funkcioniranju Europske unije. Ako crkva u državi članici u trenutku stupanja na snagu ove Uredbe primijeni odgovarajuća pravila u pogledu zaštite pojedinaca pri obradi osobnih podataka, ta bi se pravila trebala i dalje primjenjivati ako su usklađena s ovom Uredbom i biti priznata kao sukladna.

Amandman  91

Prijedlog Uredbe

Uvodna izjava 129.

Tekst koji je predložila Komisija

Izmjena

(129) Kako bi se ostvarili ciljevi iz ove Uredbe, odnosno zaštitila temeljna prava i slobode fizičkih osoba, osobito njihovo pravo na zaštitu osobnih podataka, te kako bi se osigurao slobodni protok osobnih podataka u Uniji, na Komisiju bi trebalo prenijeti ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije. Štoviše, delegirane akte trebalo bi donositi u vezi sa zakonitošću obrade; radi određivanja kriterija i preduvjeta u pogledu suglasnosti djeteta; pri obradi posebnih kategorija podataka; radi određivanja kriterija i preduvjeta za pretjerane zahtjeve i pristojbe za ostvarivanje prava osoba čiji se podaci obrađuju; kriterija i preduvjeta u pogledu obavještavanja osoba čiji se podaci obrađuju te u vezi s pravom pristupa; u vezi s pravom na zaborav i brisanje; u vezi s mjerama koje se temelje na profiliranju; radi određivanja kriterija i preduvjeta u vezi s odgovornošću nadzornika i zaštitom podataka pomoću tehnike i integrirane zaštite; u vezi s obrađivačem; radi određivanja kriterija i preduvjeta za dokumentaciju i sigurnost obrade; kriterija i preduvjeta za utvrđivanje povrede osobnih podataka i za obavještavanje nadzornog tijela o tome te za okolnosti u kojima bi povreda osobnih podataka vjerojatno imala štetan učinak na osobu čiji se podaci obrađuju; kriterija i preduvjeta za postupke obrade koji zahtijevaju procjenu učinka obrade; kriterija i preduvjeta za utvrđivanje visokog stupnja određenih rizika za koje je potrebno prethodno savjetovanje; u vezi s imenovanjem službenika za zaštitu podataka i njegovim zadaćama; u vezi s kodeksom ponašanja; radi utvrđivanja kriterija i preduvjeta za mehanizme certificiranja; kriterija i preduvjeta za prijenose na temelju obvezujućih pravila poduzeća; u vezi s odstupanjima za prijenos podataka; u vezi s upravnim sankcijama; u vezi s obradom u zdravstvene svrhe; u vezi obrade podataka pri zapošljavanju i obrade u svrhe povijesnog, statističkog i znanstvenog istraživanja. Posebno je važno da Komisija tijekom svog pripremnog rada provede odgovarajuća savjetovanja, uključujući i ona na stručnoj razini. Kod pripreme i sastavljanja delegiranih akata Komisija bi trebala osigurati da se relevantni dokumenti istodobno, pravovremeno i na primjeren način dostave Europskom parlamentu i Vijeću.

Kako bi se ostvarili ciljevi iz ove Uredbe, odnosno zaštitila temeljna prava i slobode fizičkih osoba, osobito njihovo pravo na zaštitu osobnih podataka, te kako bi se osigurao slobodni protok osobnih podataka u Uniji, na Komisiju bi trebalo prenijeti ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije. Štoviše, delegirane akte trebalo bi donositi u vezi s određivanjem uvjeta za način koji se temelji na ikonama za pružanje informacija; u vezi s pravom na brisanje; izjavljujući da su kodeksi ponašanja u skladu s Uredbom; radi utvrđivanja kriterija i preduvjeta za mehanizme certificiranja; odgovarajuće razine zaštite koju pruža treća zemlja ili međunarodna organizacija; kriterija i preduvjeta za prijenose na temelju obvezujućih pravila poduzeća; u vezi s upravnim sankcijama; u vezi obrade podataka u zdravstvene svrhe i pri zapošljavanju; Posebno je važno da Komisija tijekom svog pripremnog rada provede odgovarajuća savjetovanja, uključujući i ona na stručnoj razini, naročito s Europskim odborom za zaštitu podataka. Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

Amandman  92

Prijedlog Uredbe

Uvodna izjava 130.

Tekst koji je predložila Komisija

Izmjena

(130) Kako bi se osigurali jednaki uvjeti za provedbu ove Uredbe, na Komisiju bi se trebale prenijeti provedbene ovlasti za: utvrđivanje standardnih obrazaca za suglasnost djeteta; standardne postupke i obrasce za ostvarivanje prava osoba čiji se podaci obrađuju; standardne obrasce za obavješćivanje osoba čiji se podaci obrađuju; standardne obrasce i postupke za pravo pristupa; pravom na prijenos podataka; standardne obrasce u vezi s odgovornošću nadzornika za zaštitu podataka pomoću tehnike i integrirane zaštite te za dokumentaciju; posebne uvjete za sigurnost obrade; standardni format i postupke obavještavanja nadzornog tijela u slučaju povrede osobnih podataka te obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka; standarde i postupke za procjenu učinka zaštite podataka; obrasce i postupke za prethodno odobrenje i prethodno savjetovanje; tehničke standarde i mehanizme certificiranja; odgovarajuću razinu zaštite koju osigurava treća zemlja ili teritorij ili sektor na kojem se vrši obrada u toj trećoj zemlji ili međunarodna organizacija; otkrivanje podataka koje nije dopušteno prema zakonodavstvu Unije; međusobnu pomoć; zajedničke operacije; odluke u sklopu mehanizma za usklađivanje. Te ovlasti trebalo bi provoditi u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. kojom se utvrđuju pravila i opća načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije. U skladu s tim Komisija bi trebala razmotriti posebne mjere za mikro, mala i srednja poduzeća.

Kako bi se osigurali jednaki uvjeti za provedbu ove Uredbe, na Komisiju bi se trebale prenijeti provedbene ovlasti za: utvrđivanje standardnih obrazaca za pojedine metode stjecanja provjerljivog pristanka djeteta; standardne obrasce za obavještavanje osoba čiji se podaci obrađuju o ostvarivanju njihovih prava; standardne obrasce za obavještavanje osoba čiji se podaci obrađuju; standardne obrasce za pravo pristupa uključujući one za obavještavanje osobe čiji se podaci obrađuju o osobnim podacima; standardne obrasce u vezi s dokumentacijom koju vode nadzornik i obrađivač; standardni obrazac za obavještavanje nadzornog tijela u slučaju povrede osobnih podataka te za dokumentiranje povrede osobnih podataka; obrasce za prethodno savjetovanje i obavijest nadzornom tijelu. Te ovlasti trebalo bi provoditi u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća. U skladu s tim Komisija bi trebala razmotriti posebne mjere za mikro, mala i srednja poduzeća.

 

Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije. U skladu s tim Komisija bi trebala razmotriti posebne mjere za mikro, mala i srednja poduzeća.

Amandman  93

Prijedlog Uredbe

Uvodna izjava 131.

Tekst koji je predložila Komisija

Izmjena

(131) Tijekom postupka ispitivanja trebalo bi utvrditi pojedinačne standardne obrasce za suglasnost djeteta; standardne postupke i obrasce za ostvarivanje prava osoba čiji se podaci obrađuju; standardne obrasce za obavještavanje osoba čiji se podaci obrađuju; standardne obrasce i postupke u vezi s pravom pristupa; pravom na prijenos podataka; standardne obrasce u vezi s odgovornošću nadzornika za zaštitu podataka pomoću tehnike i integrirane zaštite te za dokumentaciju; posebne uvjete sigurnosti obrade; standardni format i postupke obavještavanja nadzornog tijela u slučaju povrede osobnih podataka te obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka; standarde i postupke za procjenu učinka zaštite podataka; obrasce i postupke za prethodno odobrenje i prethodno savjetovanje; tehničke standarde i mehanizme certificiranja; odgovarajuću razinu zaštite koju osigurava treća zemlja ili teritorij ili sektor na kojem se vrši obrada u toj trećoj zemlji ili međunarodna organizacija; otkrivanje podataka koje nije dopušteno prema zakonodavstvu Unije; međusobnu pomoć; zajedničke operacije; odluke u okviru mehanizma za usklađivanje, pod uvjetom da se radi o općim pravnim aktima.

(131) Tijekom postupka ispitivanja trebalo bi utvrditi pojedinačne standardne obrasce: pojedinačne standardne obrasce za pojedine metode stjecanja provjerljivog pristanka djeteta; standardne obrasce za obavještavanje osoba čiji se podaci obrađuju o ostvarivanju njihovih prava; standardne obrasce za obavještavanje osoba čiji se podaci obrađuju; standardne obrasce za pravo pristupa uključujući one za obavještavanje osobe čiji se podaci obrađuju o osobnim podacima; standardne obrasce u vezi s dokumentacijom koju vode nadzornik i obrađivač; standardni obrazac za obavještavanje nadzornog tijela u slučaju povrede osobnih podataka te za dokumentiranje povrede osobnih podataka; obrasce za prethodno savjetovanje i obavijest nadzornom tijelu, pod uvjetom da se radi o općim pravnim aktima.

Amandman  94

Prijedlog Uredbe

Uvodna izjava 132.

Tekst koji je predložila Komisija

Izmjena

(132) Komisija treba odmah donijeti provedbene akte koji se mogu primijeniti u propisno opravdanim slučajevima u vezi s trećom zemljom, teritorijem ili sektorom na kojem se vrši obrada u toj trećoj zemlji ili međunarodnom organizacijom koja ne jamči odgovarajuću razinu zaštite te u vezi s pitanjima koja su iznijela nadzorna tijela u okviru mehanizma za usklađivanje ako je to nužno zbog izrazite hitnosti slučaja.

Briše se.

Amandman                 95

Prijedlog Uredbe

Uvodna izjava 134.

Tekst koji je predložila Komisija

Izmjena

(134) Direktiva 95/46/EZ ovom se Uredbom stavlja izvan snage. No, usvojene odluke Komisije i odobrenja nadzornih tijela koja se temelje na Direktivi 95/46/EZ trebaju ostati na snazi.

(134) Direktiva 95/46/EZ ovom se Uredbom stavlja izvan snage. No, usvojene odluke Komisije i odobrenja nadzornih tijela koja se temelje na Direktivi 95/46/EZ trebaju ostati na snazi. Odluke Komisije i odobrenja nadzornih tijela koja se odnose na prijenose podataka u treće zemlje u skladu s člankom 41. stavkom 8. trebaju ostati na snazi tijekom prijelaznog razdoblja od pet godina nakon stupanja na snagu ove Uredbe, osim ako ih Komisija ne izmijeni, zamijeni ili stavi izvan snage prije kraja tog razdoblja.

 

Amandman  96

Prijedlog Uredbe

Članak 2.

Tekst koji je predložila Komisija

Izmjena

Područje primjene

Područje primjene

1. Ova Uredba primjenjuje se na obradu osobnih podataka koji se u cijelosti ili djelomično obrađuju automatiziranim putem te na obradu osobnih podataka koji čine dio sustava podataka ili će činiti dio sustava podataka obradom koja nije automatizirana.

1. Ova Uredba primjenjuje se na obradu osobnih podataka koji se u cijelosti ili djelomično obrađuju automatiziranim putem, bez obzira na metodu obrade, te na obradu osobnih podataka koji čine dio sustava podataka ili će činiti dio sustava podataka obradom koja nije automatizirana.

2. Ova Uredba ne primjenjuje se na obradu osobnih podataka:

2. Ova Uredba ne primjenjuje se na obradu osobnih podataka:

(a) u okviru aktivnosti koja je izvan područja primjene zakonodavstva Unije, a posebno u vezi s nacionalnom sigurnošću;

(a) u okviru aktivnosti koja je izvan područja primjene zakonodavstva Unije;

 

(b) od strane institucija, tijela, ureda i agencija Unije;

 

(c) od strane država članica pri provođenju aktivnosti obuhvaćenih Poglavljem 2. Ugovora o Europskoj uniji;

(c) od strane država članica pri provođenju aktivnosti obuhvaćenih Poglavljem 2. Glave V. Ugovora o Europskoj uniji;

(d) od strane fizičke osobe radi isključivo osobne ili obiteljske aktivnosti bez ikakvog financijskog interesa;

(d) od strane fizičke osobe radi isključivo osobne ili obiteljske aktivnosti. Ovo izuzeće primjenjuje se i na objavljivanje osobnih podataka ako se može opravdano očekivati ​​da će im pristupiti samo ograničen broj osoba;

(e) od strane nadležnih tijela radi sprečavanja, istrage, utvrđivanja ili progona kaznenih dijela ili izvršavanja kaznenopravnih sankcija.

(e) od strane nadležnih javnih tijela radi sprečavanja, istrage, utvrđivanja ili progona kaznenih dijela ili izvršavanja kaznenopravnih sankcija.

3. Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ, posebno pravila o odgovornosti posrednika pri pružanju usluga prema člancima 12. do 15. te Direktive.

3. Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ, posebno pravila o odgovornosti posrednika pri pružanju usluga prema člancima 12. do 15. te Direktive.

Amandman  97

Prijedlog Uredbe

Članak 3.

Tekst koji je predložila Komisija

Izmjena

Teritorijalno područje primjene

Teritorijalno područje primjene

1. Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana nadzornika ili obrađivača u Uniji.

1. Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana nadzornika ili obrađivača u Uniji, bilo da se obrada događa u Uniji ili ne.

2. Ova se Uredba odnosi na obradu osobnih podataka osoba čiji se podaci obrađuju koje borave u Uniji od strane nadzornika bez poslovnog nastana u Uniji, ako se aktivnosti obrade odnose na:

2. Ova se Uredba odnosi na obradu osobnih podataka osoba čiji se podaci obrađuju koje borave u Uniji od strane nadzornika ili obrađivača bez poslovnog nastana u Uniji, ako se aktivnosti obrade odnose na:

(a) ponudu roba ili usluga tim osobama čiji se podaci obrađuju u Uniji; ili

(a) ponudu roba ili usluga tim osobama čiji se podaci obrađuju u Uniji, bez obzira na to je li potrebno plaćanje osobe čiji se podaci obrađuju; ili

(b) praćenje njihova ponašanja.

(b) praćenje takvih osoba čiji se podaci obrađuju.

3. Ova Uredba odnosi se na obradu osobnih podataka od strane obrađivača bez poslovnog nastana u Uniji, no s poslovnim nastanom na području u kojem se primjenjuje nacionalno pravo države članice prema javnom međunarodnom pravu.

3. Ova Uredba odnosi se na obradu osobnih podataka od strane obrađivača bez poslovnog nastana u Uniji, no s poslovnim nastanom na području u kojem se primjenjuje nacionalno pravo države članice prema javnom međunarodnom pravu.

Amandman  98

Prijedlog Uredbe

Članak 4.

Tekst koji je predložila Komisija

Izmjena

Definicije

Definicije

U smislu ove Uredbe:

U smislu ove Uredbe:

(1) „osoba čiji se podaci obrađuju” znači bilo koja utvrđena fizička osoba ili fizička osoba čiji se identitet može utvrditi, izravno ili neizravno, sredstvima koja bi mogao koristiti nadzornik ili bilo koja druga fizička ili pravna osoba, posebno navođenjem identifikacijskog broja, podataka o lokaciji, mrežnih identifikatora ili jednog ili više faktora vezanih uz fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet te osobe;

 

(2) „osobni podaci” znači bilo koji podaci koji se odnose na osobu čiji se podaci obrađuju;

(2) „osobni podaci” znači bilo koji podaci koji se odnose na fizičku osobu koja je identificirana ili ju je moguće identificirati („osoba čiji se podaci obrađuju”); osoba koju je moguće identificirati je osoba koju je moguće izravno ili neizravno identificirati, osobito pozivanjem na identifikator poput imena, identifikacijskog broja, podataka o lokaciji, jedinstvenog identifikatora ili na jedan ili više činitelja specifičnih za fizički, fiziološki, genetski, mentalni, gospodarski, kulturni, društveni ili rodni identitet te osobe;

 

(2.a) „pseudonimni podaci” znači osobni podaci koji se ne mogu povezati s određenom osobom čiji se podaci obrađuju bez korištenja dodatnih informacija dok god se takve dodatne informacije čuvaju odvojeno i dok su podložne tehničkim i organizacijskim mjerama za osiguravanje nepovezivanja;

 

(2.b) „kodirani podaci” znači osobni podaci koji su s pomoću tehnoloških mjera zaštite nedostupni bilo kojoj osobi koja nije ovlaštena pristupiti im;

(3) „obrada” znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima ili skupom osobnih podataka, bilo automatiziranim putem ili ne, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem, ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, brisanje ili uništavanje;

(3) „obrada” znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima ili skupom osobnih podataka, bilo automatiziranim putem ili ne, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem, ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, brisanje ili uništavanje;

 

(3.a) „profiliranje” znači bilo koji oblik automatizirane obrade osobnih podataka radi procjene određenih osobnih karakteristika fizičke osobe ili radi analize ili predviđanja posebice u vezi s radnim učinkom te fizičke osobe, financijskom situacijom, lokacijom, zdravljem, osobnim sklonostima, pouzdanošću ili ponašanjem;

(4) „sustav podataka” znači bilo koji strukturirani skup osobnih podataka koji je dostupan prema posebnim mjerilima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(4) „sustav podataka” znači bilo koji strukturirani skup osobnih podataka koji je dostupan prema posebnim mjerilima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(5) „nadzornik” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu, uvjete i načine obrade osobnih podataka; ako su svrha, uvjeti i načini obrade utvrđeni zakonodavstvom Unije ili zakonodavstvom države članice, imenovanje nadzornika ili posebna mjerila za njegovo imenovanje mogu se utvrditi zakonodavstvom Unije ili zakonodavstvom države članice;

(5) „nadzornik” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; kada su svrha i načini obrade utvrđeni pravom Unije ili zakonodavstvom države članice, nadzornik ili posebna mjerila za njegovo imenovanje mogu se utvrditi zakonodavstvom Unije ili države članice;

(6) „obrađivač” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(6) „obrađivač” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(7) „primatelj” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo kojem se otkrivaju osobni podaci;

(7) „primatelj” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo kojem se otkrivaju osobni podaci;

 

(7.a) „treća strana” znači bilo koja fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje nije osoba čiji se podaci obrađuju, nadzornik, obrađivač i osobe koje su pod izravnim vodstvom nadzornika ili obrađivača ovlaštene za obradu podataka;

(8) „suglasnost osobe čiji se podaci obrađuju” znači svaka dobrovoljno dana, posebna izjava volje utemeljena na informacijama, kojom osoba čiji se podaci obrađuju, izjavom ili jasnim postupkom potvrde, daje svoju suglasnost da se obrade osobni podaci koji se na nju odnose;

(8) „suglasnost osobe čiji se podaci obrađuju” znači svaka dobrovoljno dana, posebna izjava volje utemeljena na informacijama, kojom osoba čiji se podaci obrađuju, izjavom ili jasnim postupkom potvrde, daje svoju suglasnost da se obrade osobni podaci koji se na nju odnose;

(9) „povreda osobnih podataka” znači kršenje sigurnosti uslijed kojeg dolazi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja podataka ili se dopušta pristup osobnim podacima koji se prenose, pohranjuju ili obrađuju na bilo koji način;

(9) „povreda osobnih podataka” znači slučajno ili nezakonito uništavanje, gubitak, izmjena, neovlašteno otkrivanje podataka ili dopuštenje pristupa osobnim podacima koji se prenose, pohranjuju ili obrađuju na bilo koji način;

(10) „genetski podaci” znači svi podaci bilo koje vrste koji se odnose na osobine pojedinca koje se nasljeđuju ili stječu tijekom ranog prenatalnog razvoja;

(10) „genetski podaci” znači svi osobni podaci koji se odnose na genetske osobine pojedinca koje su naslijeđene ili stečene koji proizlaze iz analize biološkog uzorka pojedinca o kojem je riječ, a posebice iz kromosomske analize ili analize deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili analize bilo kojeg drugog elementa koji omogućava dobivanje jednake informacije;

(11) „biometrijski podaci” znači bilo koji podaci koji se odnose na tjelesne ili fiziološke značajke pojedinca ili na značajke vezane uz ponašanje, a koje omogućuju jedinstvenu identifikaciju, poput slika lica ili daktiloskopskih podataka;

(11) „biometrijski podaci” znači bilo koji osobni podaci koji se odnose na tjelesne ili fiziološke osobine pojedinca ili na osobine vezane uz ponašanje, a koje omogućuju jedinstvenu identifikaciju, poput slika lica ili daktiloskopskih podataka;

(12) „podaci o zdravstvenom stanju” znači bilo koji podatak koji se odnosi na tjelesno ili duševno zdravlje pojedinca ili na pružanje zdravstvenih usluga pojedincu;

(12) „podaci o zdravstvenom stanju” znači bilo koji osobni podatak koji se odnosi na tjelesno ili duševno zdravlje pojedinca ili na pružanje zdravstvenih usluga pojedincu;

(13) „glavni poslovni nastan” u pogledu nadzornika znači mjesto njegova poslovnog nastana u Uniji gdje se donose najvažnije odluke o svrsi, uvjetima i sredstvima obrade osobnih podataka; ako se u Uniji ne donose odluke o svrsi, uvjetima i sredstvima obrade osobnih podataka, onda je glavni poslovni nastan mjesto na kojem se obavljaju glavne aktivnosti obrade u sklopu aktivnosti nadzornika u Uniji. Za obrađivača „glavni poslovni nastan” znači mjesto njegove središnje uprave u Uniji;

(13) „glavni poslovni nastan” znači mjesto poslovnog nastana poduzetnika ili grupe poduzetnika u Uniji, bilo da je riječ o nadzorniku ili obrađivaču, gdje se donose najvažnije odluke o svrsi, uvjetima i sredstvima obrade osobnih podataka. Između ostalog mogu se uzeti u obzir sljedeći objektivni kriteriji: lokacija sjedišta nadzornika ili obrađivača; lokacija subjekta unutar grupe poduzetnika koji je u smislu funkcija upravljanja i administrativnih odgovornosti najbolje smješten za rješavanje i provedbu pravila kako je utvrđeno u ovoj Uredbi; lokacija na kojoj se ostvaruju učinkovite i stvarne upravljačke aktivnosti u okviru kojih se kroz stabilni sustav određuje obrada podataka;

(14) „predstavnik” znači bilo koja fizička ili pravna osoba s poslovnim nastanom u Uniji, izričito imenovana od strane nadzornika, kojoj se mogu obratiti bilo koja nadzorno tijelo i druga tijela Unije i koja djeluje umjesto nadzornika s obzirom na obveze nadzornika u skladu s ovom Uredbom;

(14) „predstavnik” znači bilo koja fizička ili pravna osoba s poslovnim nastanom u Uniji koja, izričito imenovana od strane nadzornika, predstavlja nadzornika s obzirom na obveze nadzornika u skladu s ovom Uredbom;

(15) „poduzeće” znači bilo koji subjekt uključen u gospodarsku djelatnost, bez obzira na pravni oblik, uključujući stoga posebno fizičke i pravne osobe, partnerstva ili udruge koji se redovno bave gospodarskom djelatnošću;

(15) „poduzeće” znači bilo koji subjekt uključen u gospodarsku djelatnost, bez obzira na pravni oblik, uključujući stoga posebno fizičke i pravne osobe, partnerstva ili udruge koji se redovno bave gospodarskom djelatnošću;

(16) „grupa poduzetnika” znači poduzetnik u vladajućem položaju i njemu podređeni poduzetnici;

(16) „grupa poduzetnika” znači poduzetnik u vladajućem položaju i njemu podređeni poduzetnici;

(17) „obvezujuća pravila poduzeća” znači politike zaštite osobnih podataka kojih se pridržavaju nadzornik ili obrađivač s glavnim nastanom na području države članice Unije za prijenos ili niz prijenosa osobnih podataka nadzorniku ili obrađivaču u jednoj ili više trećih zemalja unutar grupe poduzetnika;

(17) „obvezujuća pravila poduzeća” znači politike zaštite osobnih podataka kojih se pridržavaju nadzornik ili obrađivač s glavnim nastanom na području države članice Unije za prijenos ili niz prijenosa osobnih podataka nadzorniku ili obrađivaču u jednoj ili više trećih zemalja unutar grupe poduzetnika;

(18) „dijete” znači svaka osoba mlađa od 18 godina;

(18) „dijete” znači svaka osoba mlađa od 18 godina;

(19) „nadzorno tijelo” znači javno tijelo koje je osnovala država članica u skladu s člankom 46.

(19) „nadzorno tijelo” znači javno tijelo koje je osnovala država članica u skladu s člankom 46.

Amandman  99

Prijedlog Uredbe

Članak 5.

Tekst koji je predložila Komisija

Izmjena

Načela obrade osobnih podataka

Načela obrade osobnih podataka

1. Osobni podaci moraju:

1. Osobni podaci:

(a) biti obrađeni u skladu sa zakonom, pošteno i transparentno u odnosu na osobu čiji se podaci obrađuju;

(a) obrađuju se u skladu sa zakonom, pošteno i transparentno u odnosu na osobu čiji se podaci obrađuju (zakonitost, pravednost i transparentnost);

(b) biti prikupljeni u posebne, izričite i zakonite svrhe te ih se ne smije dalje obrađivati na način koji bi bio nespojiv s tom svrhom;

(b) prikupljaju se u posebne, izričite i zakonite svrhe te ih se dalje ne obrađuju na način koji bi bio nespojiv s tim svrhama (ograničavanje svrhe);

(c) biti prikladni, relevantni i ograničeni na nužne podatke u odnosu na svrhu radi koje se obrađuju; biti obrađeni samo i dok god se ta svrha ne može ispuniti obradom informacija koje ne uključuju osobne podatke;

(c) prikladni su, relevantni i ograničeni na nužne podatke u odnosu na svrhu radi koje se obrađuju; obrađuju se samo i dok god se ta svrha ne može ispuniti obradom informacija koja ne uključuju osobne podatke (smanjenje količine podataka);

(d) biti točni i ažurirani; potrebno je poduzeti sve razumne mjere kako bi se osobni podaci koji su netočni bez odlaganja izbrisali ili ispravili, uzimajući u obzir svrhu radi koje se obrađuju;

(d) su točni i, po potrebi, ažurirani; potrebno je poduzeti sve razumne mjere kako bi se osobni podaci koji su netočni bez odlaganja izbrisali ili ispravili, uzimajući u obzir svrhu radi koje se obrađuju (točnost).

(e) se čuvati u obliku koji omogućuje identifikaciju osoba čiji se podaci obrađuju, ne duže nego što je nužno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se duže pohraniti ako će se obrađivati samo u svrhu povijesnog, statističkog ili znanstvenog istraživanja u skladu s pravilima i uvjetima članka 83. te ako se periodički provodi revizija kako bi se procijenila nužnost daljnjeg pohranjivanja;

(e) se čuvati u obliku koji omogućuje izravnu ili neizravnu identifikaciju osoba čiji se podaci obrađuju, ne duže nego što je nužno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se duže pohraniti ako će se obrađivati samo u svrhu povijesnog, statističkog ili znanstvenog istraživanja ili u svrhe arhiviranja u skladu s pravilima i uvjetima članka 83.i 83.a te ako se periodički provodi revizija kako bi se procijenila nužnost daljnjeg pohranjivanja i ako su uvedene odgovarajuće tehničke i organizacijske mjere radi ograničavanja pristupa podacima samo u te svrhe (smanjenje količine podataka);

 

(ea) se obrađivati na način kojim se učinkovito omogućava osobi čiji se podaci obrađuju ostvarivanje njezinih prava (učinkovitost);

 

(eb) se obrađivati na način kojim se štite od neovlaštene i nezakonite obrade te od slučajnog gubitka, uništavanja ili oštećivanja primjenom odgovarajućih tehničkih ili organizacijskih mjera (cjelovitost);

 

(f) se obrađivati uz odgovornost nadzornika koji za svaki postupak obrade mora osigurati i dokazati postupanje u skladu s odredbama donesenima u skladu s ovom Uredbom.

(f) se obrađivati uz odgovornost nadzornika koji za svaki postupak obrade osigurava i sposoban je dokazati postupanje u skladu s odredbama doneseima u skladu s ovom Uredbom (pouzdanost).

Amandman               100

Prijedlog Uredbe

Članak 6.

Tekst koji je predložila Komisija

Izmjena

Zakonitost obrade

Zakonitost obrade

1. Obrada osobnih podataka zakonita je samo ako je ispunjen jedan od sljedećih preduvjeta:

1. Obrada osobnih podataka zakonita je samo ako i u mjeru u kojoj je ispunjen jedan od sljedećih preduvjeta:

(a) osoba čiji se podaci obrađuju dala je svoju suglasnost da se njezini osobni podaci obrade u jednu ili više određenih svrha;

(a) osoba čiji se podaci obrađuju dala je svoju suglasnost da se njezini osobni podaci obrade u jednu ili više određenih svrha;

(b) obrada je nužna za izvršavanje ugovora kojem je osoba čiji se podaci obrađuju stranka ili kako bi se poduzele mjere na zahtjev osobe čiji se podaci obrađuju prije sklapanja ugovora;

(b) obrada je nužna za izvršavanje ugovora kojem je osoba čiji se podaci obrađuju stranka ili kako bi se poduzele mjere na zahtjev osobe čiji se podaci obrađuju prije sklapanja ugovora;

(c) obrada je potrebna radi usklađenosti sa zakonskom obvezom kojoj nadzornik podliježe;

(c) obrada je potrebna radi usklađenosti sa zakonskom obvezom kojoj nadzornik podliježe;

(d) obrada je potrebna radi zaštite vitalnih interesa osobe čiji se podaci obrađuju;

(d) obrada je potrebna radi zaštite vitalnih interesa osobe čiji se podaci obrađuju;

(e) obrada je potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti koju ima nadzornik;

(e) obrada je potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti koju ima nadzornik;

(f) obrada je nužna u svrhe legitimnog interesa koji ima nadzornik, osim kada su ti interesi podređeni interesima ili temeljnim pravima i slobodama osobe čiji se podaci obrađuju, a koji iziskuju zaštitu osobnih podataka, pogotovo ako je osoba čiji se podaci obrađuju dijete. Ovo se ne odnosi na obrade koje provode javna tijela pri izvršavanju svojih zadataka.

(f) obrada je nužna u svrhe legitimnog interesa koji ima taj nadzornik ili koju, u slučaju otkrivanja, ima treća strana kojoj se podaci otkrivaju a koja ispunjava razumna očekivanja osobe čiji se podaci obrađuju na temelju njegove ili njezine veze s nadzornikom, osim kada su ti interesi podređeni interesima ili temeljnim pravima i slobodama osobe čiji se podaci obrađuju, a koji iziskuju zaštitu osobnih podataka. Ovo se ne odnosi na obrade koje provode javna tijela pri izvršavanju svojih zadataka.

2. Obrada osobnih podataka koja je nužna u svrhu povijesnog, statističkog ili znanstvenog istraživanja zakonita je prema uvjetima i mjerama zaštite navedenima u članku 83.

2. Obrada osobnih podataka koja je nužna u svrhu povijesnog, statističkog ili znanstvenog istraživanja zakonita je prema uvjetima i mjerama zaštite navedenima u članku 83.

3. Osnova za obradu navedenu u točkama (c) i (e) stavka 1. mora biti sadržana u:

3. Osnova za obradu navedenu u točkama (c) i (e) stavka 1. mora biti sadržana u:

(a) zakonodavstvu Unije, ili

(a) zakonodavstvu Unije, ili

(b) zakonodavstvu države članice kojem podliježe nadzornik.

(b) zakonodavstvu države članice kojem podliježe nadzornik.

Zakon države članice mora ispuniti cilj u javnom interesu ili mora biti nužan radi zaštite prava i sloboda drugih, poštovati bit prava na zaštitu osobnih podataka i biti proporcionalan s legitimnim ciljem koji se želi postići.

Zakon države članice mora ispuniti cilj u javnom interesu ili mora biti nužan radi zaštite prava i sloboda drugih, poštovati bit prava na zaštitu osobnih podataka i biti proporcionalan s legitimnim ciljem koji se želi postići. U skladu s ovom Uredbom zakonom države članice mogu se osigurati detaljne informacije o zakonitosti obrade, osobito kad je riječ o nadzornicima podataka, svrsi obrade i ograničenju svrhe, prirodi podataka i osoba čiji se podaci obrađuju, mjerama obrade i postupcima, primateljima i trajanju pohranjivanja podataka.

4. Ako svrha daljnje obrade nije u skladu sa svrhom zbog koje su prikupljeni osobni podaci, obrada mora imati pravnu osnovu u barem jednom od razloga navedenih u točkama (a) do (e) stavka 1. To se pogotovo odnosi na slučaj bilo kakve promjene općih uvjeta ugovora.

 

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja uvjeta navedenih u točki (f) stavka 1. za razne sektore i situacije obrade podataka, uključujući obradu podataka vezanih uz dijete.

 

Amandman  101

Prijedlog Uredbe

Članak 7.

Tekst koji je predložila Komisija

Izmjena

Uvjeti za suglasnost

Uvjeti za suglasnost

1. Nadzornik snosi odgovornost dokazivanja suglasnosti osobe čiji se podaci obrađuju na obradu njegovih osobnih podataka u navedene svrhe.

1. Kada se obrada temelji na suglasnosti, nadzornik snosi odgovornost dokazivanja suglasnosti osobe čiji se podaci obrađuju na obradu njegovih osobnih podataka u navedene svrhe.

2. Ako osoba čiji se podaci obrađuju daje suglasnost pisanom izjavom koja se odnosi i na druga pitanja, zahtjev za davanjem suglasnosti mora se jasno izdvojiti u odnosu na druga pitanja.

2. Ako osoba čiji se podaci obrađuju daje suglasnost pisanom izjavom koja se odnosi i na druga pitanja, zahtjev za davanjem suglasnosti mora se naočigled jasno izdvojiti u odnosu na druga pitanja. Odredbe o suglasnosti osobe čiji se podaci obrađuju kojima se djelomično krši ova Uredba u cijelosti su nevaljane.

3. Osoba čiji se podaci obrađuju ima pravo u bilo kojem trenutku povući svoju suglasnost. Povlačenje suglasnosti ne utječe na zakonitost obrade koja se temelji na suglasnosti danoj prije njezina povlačenja.

3. Neovisno o ostalim pravnim osnovama za obradu, osoba čiji se podaci obrađuju ima pravo u bilo kojem trenutku povući svoju suglasnost. Povlačenje suglasnosti ne utječe na zakonitost obrade koja se temelji na suglasnosti danoj prije njezina povlačenja. Suglasnost se jednako lako povlači kao što se i daje. Osobu čiji se podaci obrađuju obavještava nadzornik podataka ako povlačenje suglasnosti može rezultirati obustavom usluga koje se pruža ili odnosa s nadzornikom.

4. Suglasnost ne predstavlja pravnu osnovu za obradu ako postoji znatna neravnoteža između položaja ispitanika i nadzornika.

4. Suglasnost je ograničena na svrhu i gubi valjanost kada ta svrha prestane postojati ili čim obrada osobnih podataka više nije potrebna za provođenje svrhe radi koje su podaci prvotno prikupljani. Izvršenje ugovora ili pružanje usluge nije uvjetovano suglasnošću za obradu podataka koja je nije neophodna za izvršenje ugovora ili pružanje usluge u skladu s člankom 6. stavkom 1. točkom (b).

Amandman    102

Prijedlog Uredbe

Članak 8.

Tekst koji je predložila Komisija

Izmjena

Obrada osobnih podataka djeteta

Obrada osobnih podataka djeteta

1. U smislu ove Uredbe obrada osobnih podataka djeteta mlađeg od 13 godina, kojem se izravno nude usluge informacijskog društva, zakonita je samo u slučaju suglasnosti ili autorizacije od strane djetetovog roditelja ili skrbnika ili u mjeri u kojoj one to dopuštaju. Nadzornik, uzimajući u obzir dostupnu tehnologiju, poduzima ogovarajuće mjere kako bi stekao provjerljivu suglasnost.

1. U smislu ove Uredbe obrada osobnih podataka djeteta mlađeg od 13 godina, kojem se izravno nude robe ili usluge, zakonita je samo u slučaju suglasnosti ili autorizacije od strane djetetovog roditelja ili pravnog skrbnika ili u mjeri u kojoj one to dopuštaju. Nadzornik, uzimajući u obzir dostupnu tehnologiju i ne dajući povoda inače neophodnoj obradi osobnih podataka, poduzima ogovarajuće mjere kako bi provjerio takvu suglasnost.

 

1a. Podaci dani djeci, roditeljima i pravnim skrbnicima radi izražavanja suglasnosti, također i podaci o prikupljanju osobnih podataka i korištenju njima od strane nadzornika, trebali bi biti sastavljeni jasnim jezikom i primjereni ciljanoj publici.

2. Stavak 1. ne utječe na opće ugovorno pravo država članica poput propisa o valjanosti, obliku i učinku ugovora u vezi s djetetom.

2. Stavak 1. ne utječe na opće ugovorno pravo država članica poput propisa o valjanosti, obliku i učinku ugovora u vezi s djetetom.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za metode stjecanja provjerljive suglasnosti iz stavka 1. U skladu s tim Komisija će razmatra posebne mjere za mikro, mala i srednja poduzeća.

3. Europskom odboru za zaštitu podataka povjeren je zadatak donošenja smjernica, preporuka i najboljih praksi za metode provjeravanja suglasnosti uz stavka 1. u skladu s člankom 66.

4. Komisija može odrediti standardne obrasce za pojedine metode stjecanja provjerljive suglasnosti navedene u stavku 1. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  103

Prijedlog Uredbe

Članak 9.

Tekst koji je predložila Komisija

Izmjena

Obrada posebnih kategorija osobnih podataka

Posebne kategorije podataka

1. Obrada osobnih podataka kojima se otkriva rasno ili etničko porijeklo, politička mišljenja, vjera ili uvjerenja, članstvo u sindikatu te obrada genetskih podataka ili podataka u vezi sa zdravljem ili spolnim životom ili kaznenim presudama ili povezanim sigurnosnim mjerama zabranjena je.

1. Obrada osobnih podataka kojima se otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjera ili filozofska uvjerenja, spolna opredijeljenost ili spolni identitet, članstvo u sindikatu i aktivnosti sindikata te obrada genetskih ili biometričkih podataka ili podataka u vezi sa zdravljem ili spolnim životom, upravnim sankcijama, presudama, kaznenim ili navodnim kaznenim djelima, kaznenim presudama ili povezanim sigurnosnim mjerama zabranjena je.

2. Stavak 1. ne primjenjuje se ako:

2. Stavak 1. ne primjenjuje se ako važi jedno od sljedećega:

(a) je osoba čiji se podaci obrađuju dala svoju suglasnost za obradu tih podataka, utvrđenih člancima 7. i 8., osim kada je zakonodavstvom Unije ili države članice predviđeno da zabranu iz stavka 1. ne može ukinuti osoba čiji se podaci obrađuju; ili

(a) je osoba čiji se podaci obrađuju dala svoju suglasnost za obradu tih podataka radi jedne utvrđene svrhe ili više njih, podložno uvjetima u člancima 7. i 8., osim kada je zakonodavstvom Unije ili države članice predviđeno da zabranu iz stavka 1. ne može ukinuti osoba čiji se podaci obrađuju;

 

(aa) obrada je nužna za izvođenje ili izvršavanje ugovora kojem je osoba čiji se podaci obrađuju stranka ili kako bi se poduzele mjere na zahtjev osobe čiji se podaci obrađuju prije sklapanja ugovora;

(b) je obrada potrebna u svrhe izvršavanja obveza i posebnih prava nadzornika na području zakonodavstva o zapošljavanju u onoj mjeri u kojoj je to dopušteno zakonodavstvom Unije ili države članice koje pruža odgovarajuće mjere zaštite; ili

(b) je obrada potrebna u svrhe izvršavanja obveza i posebnih prava nadzornika na području zakonodavstva o zapošljavanju u onoj mjeri u kojoj je to dopušteno zakonodavstvom ili kolektivnim ugovorima Unije ili države članice koje pruža odgovarajuće mjere zaštite temeljnih prava i interesa osobe čiji se podaci obrađuju kao što je pravo na nediskriminaciju, podložno uvjetima i mjereama zaštite iz članka 82.;; ili

(c) je obrada neophodna kako bi se zaštitili ključni interesi osobe čiji se podaci obrađuju ili druge osobe u slučaju da osoba čiji se podaci obrađuju nije fizički ili pravno sposobna dati suglasnost; ili

(c) je obrada neophodna kako bi se zaštitili ključni interesi osobe čiji se podaci obrađuju ili druge osobe u slučaju da osoba čiji se podaci obrađuju nije fizički ili pravno sposobna dati suglasnost; ili

(d) se obrada provodi tijekom zakonitih aktivnosti uz odgovarajuću zaštitu ustanova, udruga ili nekog drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem, te pod uvjetom da se obrada odnosi jedino na članove tijela ili bivše članove tijela ili na osobe koje su u redovitom kontaktu s njime u pogledu njihove svrhe, te da se podaci ne otkrivaju trećoj stranci bez suglasnosti osobe čiji se podaci obrađuju; ili

(d) se obrada provodi tijekom zakonitih aktivnosti uz odgovarajuću zaštitu ustanova, udruga ili nekog drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem, te pod uvjetom da se obrada odnosi jedino na članove tijela ili bivše članove tijela ili na osobe koje su u redovitom kontaktu s njime u pogledu njihove svrhe, te da se podaci ne otkrivaju trećoj stranci izvan toga tijela bez suglasnosti osobe čiji se podaci obrađuju; ili

(e) se obrada odnosi na osobne podatke koje je objavila osoba čiji se podaci obrađuju; ili

(e) se obrada odnosi na osobne podatke koje je objavila osoba čiji se podaci obrađuju; ili

(f) je to potrebno radi uspostave, izvršenja ili obrane zakonskog prava; ili

(f) je to potrebno radi uspostave, izvršenja ili obrane zakonskog prava; ili

(g) je obrada nužna za izvršenje zadaće od javnog interesa na temelju zakonodavstva Unije ili države članice kojim se osiguravaju prikladne mjere za očuvanje legitimnih interesa osobe čiji se podaci obrađuju; ili

(g) je obrada nužna za izvršenje zadaće iz razloga važnog javnog interesa na temelju zakonodavstva Unije ili države članice koje je razmjerno željenome cilju, poštuje bit prava na zaštitu podataka i kojim se osiguravaju prikladne mjere za očuvanje temeljnih prava i interesa osobe čiji se podaci obrađuju; ili

(h) obrada je podataka o zdravstvenom stanju nužna u zdravstvene svrhe i podliježe uvjetima i mjerama zaštite utvrđenima člankom 81.; ili

(h) obrada je podataka o zdravstvenom stanju nužna u zdravstvene svrhe i podliježe uvjetima i mjerama zaštite utvrđenima člankom 81.; ili

(i) je obrada podataka nužna za povijesno, statističko ili znanstveno istraživanje i podliježe uvjetima i mjerama zaštite utvrđenima člankom 83.; ili

(i) je obrada podataka nužna za povijesno, statističko ili znanstveno istraživanje i podliježe uvjetima i mjerama zaštite utvrđenima člankom 83.; ili

 

(ia) je obrada potrebna za usluge arhiviranja podložno uvjetima i mjerama zaštite iz članka 83.a; ili

(j) se obrada podataka vezanih uz kaznene presude ili povezane sigurnosne mjere provodi ili pod nadzorom nadležnog tijela ili ako je obrada nužna radi usklađenosti s pravnom ili regulatornom obvezom kojoj podliježe nadzornik, ili za obavljanje zadatka koji se provodi radi važnog javnog interesa, ako je to dopušteno zakonodavstvom Unije ili države članice koji predviđaju odgovarajuće mjere zaštite. Potpuna evidencija kaznenih presuda vodi se samo pod nadzorom službenog tijela.

(j) se obrada podataka vezanih uz upravne sankcije, presude, kaznena djela, kaznene presude ili povezane sigurnosne mjere provodi ili pod nadzorom nadležnog tijela ili ako je obrada nužna radi usklađenosti s pravnom ili regulatornom obvezom kojoj podliježe nadzornik, ili za obavljanje zadatka koji se provodi radi važnog javnog interesa, ako je to dopušteno zakonodavstvom Unije ili države članice koji predviđaju odgovarajuće mjere zaštite temeljnih prava i interesa osobe čiji se podaci obrađuju. Svaka evidencija kaznenih presuda vodi se samo pod nadzorom službenog tijela.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija, uvjeta i odgovarajućih jamstava za obradu posebnih kategorija osobnih podataka navedenih u stavku 1. i iznimaka navedenih u stavku 2.

3. Europskom odboru za zaštitu podataka povjeren je zadatak donošenja smjernica, preporuka i najboljih praksi za obradu posebnih kategorija osobnih podataka navedenih u stavku 1. i iznimaka navedenih u stavku 2. u skladu s člankom 66.

Amandman    104

Prijedlog Uredbe

Članak 10.

Tekst koji je predložila Komisija

Izmjena

Ako nadzornik ne može identificirati fizičku osobu čije podatke obrađuje, nadzornik nije obvezan prikupiti dodatne informacije kako bi identificirao osobu čiji se podaci obrađuju samo radi pridržavanja neke odredbe ove Uredbe.

1. Ako nadzornik ili obrađivač ne može izravno ili neizravno identificirati fizičku osobu čije podatke obrađuje ili se ti podaci sastoje samo od pseudonimnih podataka, nadzornik ne obrađuje niti prikuplja dodatne informacije kako bi identificirao osobu čiji se podaci obrađuju samo radi pridržavanja neke odredbe ove Uredbe.

 

2. Ako nadzornik podataka ne može poštovati neku odredbu ove Uredbe zbog stavka 1., nadzornik nije obvezan poštovati tu odredbu ove Uredbe. Ako posljedično nadzornik podataka ne može poštovati zahtjev osobe čiji se podaci obrađuju, on o tome obavještava osobu čiji se podaci obrađuju.

Amandman  105

Prijedlog Uredbe

Članak 10.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 10.a

 

Opća načela o pravima osoba čiji se podaci obrađuju

 

1. Temelj zaštite podataka jasna su i jednoznačna prava osobe čiji se podaci obrađuju, a koje poštuje nadzornik podataka. Odredbama ove Uredbe ta se prava nastoji osnažiti, pojasniti, zajamčiti i prema potrebi kodificirati.

 

2. Takva prava među ostalim uključuju pružanje jasnih i lako razumljivih informacija u vezi s obradom njegovih ili svojih podataka, pravom pristupanja, ispravljanja i brisanja njihovih podataka, pravom na dobivanje podataka, pravom prigovora na oblikovanje profila, pravom podnošenja žalbe nadležnom tijelu za zaštitu podataka i pokretanja sudskih postupaka kao i pravom na naknadu pretrpljene štete zbog nezakonitog postupka obrade. Ta se prava općenito ostvaruju besplatno. Nadzornik podataka odgovara na zahtjeve osobe čiji se podaci obrađuju u razumnom roku.

Amandman  106

Prijedlog Uredbe

Članak 11.

Tekst koji je predložila Komisija

Izmjena

1. Nadzornik se u pogledu obrade osobnih podataka i ostvarenja prava osoba čiji se podaci obrađuju vodi transparentnim i lako dostupnim politikama.

1. Nadzornik se u pogledu obrade osobnih podataka i ostvarenja prava osoba čiji se podaci obrađuju vodi sažetim, transparentnim, jasnim i lako dostupnim politikama.

2. Nadzornik treba osobi čiji se podaci obrađuju na razumljiv način pružiti informacije te je izvijestiti o obradi osobnih podataka koristeći jasan i jednostavan jezik, prilagođen osobi čiji se podaci obrađuju, posebice ako se radi o informacijama izričito namijenjenima djetetu.

2. Nadzornik treba osobi čiji se podaci obrađuju na razumljiv način pružiti informacije te je izvijestiti o obradi osobnih podataka koristeći jasan i jednostavan jezik, posebice ako se radi o informacijama izričito namijenjenima djetetu.

Amandman  107

Prijedlog Uredbe

Članak 12.

Tekst koji je predložila Komisija

Izmjena

1. Nadzornik treba odrediti postupke pružanja informacija navedenih u članku 14. te postupke za ostvarivanje prava osoba čiji se podaci obrađuju navedenih u članku 13. i člancima 15. do 19. Nadzornik posebno treba osigurati mehanizme za izvršenje postupaka navedenih u članku 13. i u člancima 15. do 19. Ako se osobni podaci automatizirano obrađuju, nadzornik također treba osigurati sredstva kako bi se zahtjevi podnijeli elektroničkim putem.

1. Ako se osobni podaci automatizirano obrađuju, nadzornik također kad je to moguće treba osigurati sredstva kako bi se zahtjevi podnijeli elektroničkim putem.

2. Nadzornik osobu čiji se podaci obrađuju bez odgode i najkasnije jedan mjesec po primitku zahtjeva obavještava o tome jesu li poduzete mjere u skladu s člankom 13. i člancima 15. do 19. i pruža zatražene informacije. To se razdoblje može odgoditi za još jedan mjesec ako više osoba čiji se podaci obrađuju ostvaruju svoje pravo te je u određenoj mjeri potrebna njihova suradnja kako bi se spriječio nepotreban i neproporcionalan napor nadzornika. Te se informacije dostavljaju pisanim putem. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije treba pružiti u elektroničkom obliku, osim ako osoba čiji se podaci obrađuju ne zatraži drugačije.

2. Nadzornik osobu čiji se podaci obrađuju bez nepotrebne odgode i najkasnije 40 kalendarskih dana po primitku zahtjeva obavještava o tome jesu li poduzete mjere u skladu s člankom 13. i člancima 15. do 19. i pruža zatražene informacije. To se razdoblje može odgoditi za još jedan mjesec ako više osoba čiji se podaci obrađuju ostvaruju svoje pravo te je u određenoj mjeri potrebna njihova suradnja kako bi se spriječio nepotreban i neproporcionalan napor nadzornika. Te se informacije dostavljaju pisanim putem ,a kad je to moguće, nadzornik može omogućiti daljinski pristup zaštićenom sustavu koji bi osobi čiji se podaci obrađuju omogućio izravan pristup njegovim/njezinim osobnim podacima. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije se kad je to moguće pruža u elektroničkom obliku, osim ako osoba čiji se podaci obrađuju ne zatraži drugačije.

3. Ako nadzornik odbije djelovati na zahtjev osobe čiji se podaci obrađuju, nadzornik mora obavijestiti osobu čiji se podaci obrađuju o razlozima odbijanja i o mogućnostima podnošenja žalbe nadzornom tijelu te traženju pravnog lijeka.

3. Ako nadzornik ne djeluje na zahtjev osobe čiji se podaci obrađuju, nadzornik obavještava osobu čiji se podaci obrađuju o razlozima nedjelovanja i o mogućnostima podnošenja žalbe nadzornom tijelu te traženju pravnog lijeka.

4. Informacije i postupci koji se poduzmu zbog zahtjeva iz stavka 1. besplatni su. Ako su zahtjevi pretjerani, posebice ako se ponavljaju, nadzornik može naplatiti pristojbu za pružanje informacija ili poduzimanje zatraženih akcija, ili nadzornik ne mora poduzeti zatraženu akciju. U tom je slučaju nadzornik odgovor za dokazivanje činjenice da je zahtjev pretjeran.

4. Informacije i postupci koji se poduzmu zbog zahtjeva iz stavka 1. besplatni su. Ako su zahtjevi pretjerani, posebice ako se ponavljaju, nadzornik može naplatiti razumnu pristojbu za pružanje informacija ili poduzimanje zatraženih akcija uzimajući u obzir administrativne troškove. U tom je slučaju nadzornik odgovoran za dokazivanje činjenice da je zahtjev pretjeran.

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za pretjerane zahtjeve i pristojbe navedene u stavku 4.

 

6. Komisija može odrediti standardne obrasce i standardne postupke za komunikaciju navedenu u stavku 2., uključujući elektronički format. U skladu s tim Komisija će poduzeti potrebne mjere za mikro, mala i srednja poduzeća. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman    108

Prijedlog Uredbe

Članak 13.

Tekst koji je predložila Komisija

Izmjena

Prava primatelja

Obveza obavještavanja u slučaju ispravljanja i brisanja podataka

Nadzornik svakog primatelja kojem su podaci otkriveni izvješćuje o ispravljanju ili brisanju provedenima u skladu s člancima 16. i 17., osim ako se pokaže da to nije moguće ili iziskuje nerazmjeran napor.

Nadzornik svakog primatelja kojem su podaci preneseni izvješćuje o ispravljanju ili brisanju provedenima u skladu s člancima 16. i 17., osim ako se pokaže da to nije moguće ili iziskuje nerazmjeran napor. Nadzornik obavještava osobu čiji se podaci obrađuju o tim primateljima ako to zahtijeva osoba čiji se podaci obrađuju.

Amandman  109

Prijedlog Uredbe

Članak 13.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 13a

 

Standardizirani načini obavještavanja

 

1. Ako se prikupljaju osobni podaci u vezi s osobom čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju prije pružanja informacijama u skladu s člankom 14. pruža barem ove informacije:

 

(a) jesu li osobni podaci prikupljeni više od minimuma nužnog za svaku posebnu svrhu obrade;

 

(b) jesu li osobni podaci zadržani više od minimuma nužnog za svaku posebnu svrhu obrade;

 

(c) obrađuje li se osobne podatke u svrhe drukčije od onih radi kojih su podaci prikupljeni;

(d) širi li se osobne podatke komercijalnim trećim stranama;

 

(e) prodaje li se ili iznajmljuje osobne podatke;

 

(f) zadržava li se osobne podatke u kodiranom obliku.

 

2. Informacije iz stavka 1. prikazuje se u skladu s Prilogom X. u formatu usklađene tablice s tekstom i simbolima u sljedeća tri stupca:

 

(a) u prvom su stupcu prikazani grafički oblici koji simboliziraju te informacije;

 

(b) drugi stupac sadrži osnovne informacije o tim informacijama;

 

(c) u trećem se stupcu nalaze grafički oblici koji pokazuju važe li određene informacije.

 

3. Informacije iz stavka 1. i 2. prikazane su na lako vidljiv i jasno čitljiv način na jeziku koji razumiju potrošači država članica kojima se te informacije nude. Kada su informacije prikazane elektroničkim putem, strojno su čitljive.

 

4. Dodatne se informacije ne pružaju. Detaljna objašnjenja ili daljnje napomene u vezi s informacijama iz stavka 1. može se predstaviti zajedno s ostalim zahtjevima za informacijama u skladu s člankom 14.

 

5. Komisija je, nakon traženja mišljenja Europskog odbora za zaštitu podataka, ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhe daljnjeg utvrđivanja informacija iz stavka 1. i njihovog predstavljanja kao što je utvrđeno stavkom 2. i Prilogom 1.

Amandman  110

Prijedlog Uredbe

Članak 14.

Tekst koji je predložila Komisija

Izmjena

Obavještavanje osobe čiji se podaci obrađuju

Obavještavanje osobe čiji se podaci obrađuju

1. Ako se prikupljaju osobni podaci u vezi s osobom čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju mora pružiti barem ove informacije:

1. Ako se prikupljaju osobni podaci u vezi s osobom čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju nakon pružanja informacijama u skladu s člankom 13.a pruža barem ove informacije:

(a) identitet i kontaktne podatke nadzornika i, ako ga ima, njegovog zastupnika te službenika zaduženog za zaštitu podataka;

(a) identitet i kontaktne podatke nadzornika i, ako ga ima, njegovog zastupnika te službenika zaduženog za zaštitu podataka;

(b) svrhu obrade kojoj su osobni podaci namijenjeni, uključujući uvjete ugovora i opće uvjete ako se obrada temelji na točki (b) članka 6. stavka 1. te legitimne interese koje ispunjava nadzornik ako se obrada temelji na točki (f) članka 6. stavka 1.;

(b) svrhu obrade kojoj su osobni podaci namijenjeni, kao i informacije o sigurnosti obrade osobnih podataka, uključujući uvjete ugovora i opće uvjete ako se obrada temelji na točki (b) članka 6. stavka 1. te prema potrebi informacije o načinu na koji provode i ispunjavaju uvjete iz točke (f) članka 6. stavka 1.;

(c) razdoblju u kojem će se osobni podaci pohranjivati;

(c) razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriteriji korišteni za utvrđivanje tog razdoblja;

(d) postojanje prava da se od nadzornika zatraži pristup podacima te prava na ispravak ili brisanje osobnih podataka koji se odnose na osobu čiji se podaci obrađuju ili na protivljenje obradi tih osobnih podataka;

(d) postojanje prava da se od nadzornika zatraži pristup podacima te prava na ispravak ili brisanje osobnih podataka koji se odnose na osobu čiji se podaci prikupljaju, na protivljenje obradi tih osobnih podataka ili dobivanje podataka;

(e) pravu na žalbu nadzornom tijelu i kontaktne podatke nadzornog tijela;

(e) pravu na žalbu nadzornom tijelu i kontaktne podatke nadzornog tijela;

(f) primatelje ili kategorije primatelja osobnih podataka;

(f) primatelje ili kategorije primatelja osobnih podataka;

(g) ako je potrebno, namjeru nadzornika da podatke prenese trećoj zemlji ili međunarodnoj organizaciji te razinu zaštite u toj trećoj zemlji ili međunarodnoj organizaciji pozivajući se na Komisijinu odluku o primjerenosti;

(g) ako je potrebno, namjeru nadzornika da te podatke prenese trećoj zemlji ili međunarodnoj organizaciji i postojanje ili nepostojanje odluke o primjerenosti Komisije, ili u slučaju prijenosa iz članka 42., članka 43. ili točke (h) članka 44. stavka 1., upućivanje na odgovarajuće mjere zaštite i načine pribavljanja njihove kopije;

 

(ga) prema potrebi, informacije o postojanju profiliranja, mjerama koje se temelje na oblikovanju profila i predviđenim učincima profiliranja na osobu čiji se podaci obrađuju;

 

(gb) važne informacije o logici iza svake automatizirane obrade;

(h) sve dodatne informacije potrebne kako bi se osigurala poštena obrada u odnosu na osobu čiji se podaci obrađuju, uzimajući u obzir posebne okolnosti u kojima se prikupljaju osobni podaci.

(h) sve dodatne informacije koje su potrebne kako bi se osigurala poštena obrada u odnosu na osobu čiji se podaci obrađuju, uzimajući u obzir posebne okolnosti u kojima se osobni podaci prikupljaju ili obrađuju, osobito postojanje određenih aktivnosti i postupaka obrade za koje je ocjena učinka osobnih podataka pokazala da uključuju visok stupanj rizika;

 

(ha) prema potrebi, informacije o tome jesu li osobni podaci pruženi javnim tijelima tijekom uzastopnog razdoblja od posljednjih dvanaest mjeseci.

2. Ako se osobni podaci prikupljaju od osobe čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju uz informacije iz stavka 1. pruža i informaciju o tome je li pružanje osobnih podataka obvezno ili dobrovoljno te koje su moguće posljedice u slučaju uskraćivanja tih podataka.

2. Ako se osobni podaci prikupljaju od osobe čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju uz informacije iz stavka 1. mora pružiti i informaciju o tome je li pružanje osobnih podataka obvezatno ili neobvezatno te koje su moguće posljedice u slučaju uskraćivanja tih podataka.

 

2a. Pri odlučivanju o daljnjim informacijama koje je potrebno kako bi obrada bila poštena u skladu s točkom (h) stavka 1., nadzornici uzimaju u obzir sve relevantne smjernice iz stavka 38.

3. Ako podaci nisu dobiveni od osobe čiji se podaci obrađuju, nadzornik mora, uz obavještavanje iz stavka 1., izvijestiti osobu čiji se podaci obrađuju o porijeklu osobnih podataka.

3. Ako podaci nisu dobiveni od osobe čiji se podaci obrađuju, nadzornik mora, uz informacije iz stavka 1., izvijestiti osobu čiji se podaci obrađuju o porijeklu određenih osobnih podataka. Ako osobni podaci potječu iz javno dostupnih izvora, može se pružiti opća naznaka.

4. Nadzornik treba pružiti informacije iz stavaka 1., 2. i 3.:

4. Nadzornik treba pružiti informacije iz stavaka 1., 2. i 3.:

(a) u trenutku kada se osobni podaci prikupe od osobe čiji se podaci obrađuju; ili

(a) u trenutku kada se osobni podaci prikupe od osobe čiji se podaci obrađuju ili bez nepotrebnog odgađanja kada gore spomenuto nije moguće; ili

 

(aa) na zahtjev tijela, organizacije ili udruženja iz članka 73.;

(b) ako se osobni podaci ne prikupljaju od osobe čiji se podaci obrađuju, u trenutku bilježenja ili u razumnom vremenskom roku nakon prikupljanja, uzimajući u obzir posebne okolnosti u kojima su podaci prikupljeni ili obrađeni na drugi način, ili ako je planirano njihovo otkrivanje drugom primatelju, te najkasnije kada se podaci prvi puta objave.

(b) ako se osobni podaci ne prikupljaju od osobe čiji se podaci obrađuju, u trenutku bilježenja ili u razumnom vremenskom roku nakon prikupljanja, uzimajući u obzir posebne okolnosti u kojima su podaci prikupljeni ili obrađeni na drugi način, ili ako je planiran njihov prijenos drugom primatelju, te najkasnije kada se podaci prvi puta prenose ili ako ih se namjerava upotrijebiti za komunikaciju s predmetnom osobom čiji se podaci obrađuju najkasnije u trenutku prvog obavještavanja te osobe; ili

 

(ba) samo na zahtjev kada podatke obrađuje malo ili mikro poduzeće kojemu je obrada osobnih podataka samo sporedna aktivnost.

5. Stavci 1. do 4. ne primjenjuju se ako:

5. Stavci 1. do 4. ne primjenjuju se ako:

(a) osoba čiji se podaci obrađuju već raspolaže informacijama iz stavaka 1., 2. i 3.; ili

(a) osoba čiji se podaci obrađuju već raspolaže informacijama iz stavaka 1., 2. i 3.; ili

(b) se podaci ne prikupljaju od osobe čiji se podaci obrađuju te se pružanje takvih informacija pokaže nemogućim ili bi iziskivalo prekomjeran napor; ili

(b) se podaci obrađuju u povijesne, statističke ili znanstvene istraživačke svrhe podložno uvjetima i mjerama zaštite iz članaka 81. i 83., ne prikupljaju od osobe čiji se podaci obrađuju te se pružanje takvih informacija pokaže nemogućim ili bi iziskivalo prekomjeran napor i nadzornik je objavio informacije koje svi mogu preuzimati; ili

(c) se podaci ne prikupljaju od osobe čiji se podaci obrađuju te je evidentiranje ili otkrivanje podataka izričito propisano zakonima; ili

(c) se podaci ne prikupljaju od osobe čiji se podaci te je bilježenje ili otkrivanje podataka izričito propisano zakonima kojima nadzornik podliježe, koji osiguravaju odgovarajuće mjere zaštite legitimnih interesa osobe čiji se podaci obrađuju uzimajući u obzir rizike koje predstavlja obrada i priroda osobnih podataka; ili

(d) se podaci ne prikupljaju od osobe čiji se podaci obrađuju te bi davanje takvih informacija narušilo prava i slobode drugih, kao što je određeno zakonodavstvom Unije ili države članice u skladu s člankom 21.

(d) se podaci ne prikupljaju od osobe čiji se podaci obrađuju te bi davanje takvih informacija narušilo prava i slobode drugih fizičkih osoba, kao što je određeno zakonodavstvom Unije ili države članice u skladu s člankom 21.;

 

(da) podatke obrađuje osoba u okviru obavljanja svoje profesije ili su podaci povjereni ili otkriveni osobi koja podliježe obvezi profesionalne tajne uređene pravom Unije ili države članice ili koja podliježe zakonskoj obvezi tajne osim ako se podaci ne prikupljaju izravno od osobe čiji se podaci obrađuju.

6. U slučaju navedenom u točki (b) stavka 5. nadzornik treba poduzeti primjerene mjere kako bi zaštitio legitimne interese osobe čiji se podaci prikupljaju.

6. U slučaju navedenom u točki (b) stavka 5. nadzornik poduzima primjerene mjere kako bi zaštitio prava ili legitimne interese osobe čiji se podaci prikupljaju.

7. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija za kategorije primatelja iz točke (f) stavka 1., zahtjeva za mogućim pristupom iz točke (g) stavka 1., kriterija za daljnje potrebe obavještavanja iz točke (h) stavka 1. za posebne sektore i situacije, te uvjete i odgovarajuće mjere zaštite određene točkom (b) stavka 5. U skladu s tim Komisija će poduzeti potrebne mjere za mikro, mala i srednja poduzeća.

 

8. Komisija može odrediti standardne obrasce za pružanje informacija iz stavaka 1. do 3., uzimajući u obzir posebne karakteristike i potrebe raznih sektora i situacija za obradu podataka ako je to potrebno. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  111

Prijedlog Uredbe

Članak 15.

Tekst koji je predložila Komisija

Izmjena

Pravo osobe čiji se podaci obrađuju na pristup podacima

Pravo osobe čiji se podaci obrađuju na pristup i dobivanje podataka

1. Osoba čiji se podaci obrađuju treba imati pravo da bilo kada, na zahtjev, od nadzornika dobije potvrdu o tome obrađuju li se ili ne osobni podaci koji se na nju odnose. Ako se obrađuju osobni podaci koji se na nju odnose, nadzornik je dužan pružiti informacije o:

1. Podložno članku 12. stavku 4. osoba čiji se podaci obrađuju ima pravo da bilo kada, na zahtjev, od nadzornika dobije potvrdu o tome obrađuju li se ili ne osobni podaci koji se na nju odnose te informacije sročene jasnim i jednostavnim jezikom o:

(a) svrsi obrade;

(a) svrsi obrade za svaku kategoriju osobnih podataka;

(b) kategorijama dotičnih osobnih podataka;

(b) kategorijama dotičnih osobnih podataka;

(c) primateljima ili kategorijama primatelja kojima su otkriveni osobni podaci ili će biti otkriveni, a posebno primateljima u trećim zemljama;

(c) primateljima kojima su otkriveni osobni podaci ili će biti otkriveni, uključujući primateljima u trećim zemljama;

(d) razdoblju u kojem će se osobni podaci pohranjivati;

(d) razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriteriji korišteni za utvrđivanje tog razdoblja;

(e) postojanju prava da se od nadzornika zatraži ispravak ili brisanje osobnih podataka koji se odnose na osobu čiji se podaci prikupljaju ili na protivljenje obradi tih osobnih podataka;

(e) postojanju prava da se od nadzornika zatraži ispravak ili brisanje osobnih podataka koji se odnose na osobu čiji se podaci prikupljaju ili na protivljenje obradi tih osobnih podataka;

(f) pravu na žalbu nadzornom tijelu i kontaktne podatke nadzornog tijela;

(f) pravu na žalbu nadzornom tijelu i kontaktne podatke nadzornog tijela;

(g) osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovom izvoru;

 

(h) važnosti i predviđenim posljedicama takve obrade, barem u slučaju mjera navedenih u članku 20.

(h) važnosti i predviđenim posljedicama takve obrade.

 

(ha) važne informacije o logici svake automatizirane obrade;

 

(hb) ne dovodeći u pitanje članak 21., u slučaju otkrivanja osobnih podataka javnom tijelu na temelju zahtjeva upućenog javnom tijelu, potvrda o tome da je takav zahtjev podnesen.

2. Osoba čiji se podaci obrađuju ima pravo saznati od nadzornika koji se osobni podaci obrađuju. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije treba pružiti u elektroničkom obliku, osim ako osoba čiji se podaci obrađuju ne zatraži drugačije.

2. Osoba čiji se podaci obrađuju ima pravo saznati od nadzornika koji se osobni podaci obrađuju. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije se pruža u elektroničkom i strukturiranom obliku, osim ako osoba čiji se podaci obrađuju ne zatraži drugačije. Ne dovodeći u pitanje članak 10., nadzornik poduzima sve opravdane korake kako bi potvrdio da je osoba koja traži pristup podacima osoba čiji se podaci obrađuju.

 

2a. Kada je osoba čiji se podaci obrađuju ustupila osobne podatke i ti se podaci obrađuju elektroničkim putem, osoba čiji se podaci obrađuju ima pravo da od nadzornika dobije kopiju danih osobnih podataka u elektroničkom i interoperabilnom formatu koji se inače koristi i omogućuje osobi čiji se podaci obrađuju daljnju upotrebu, a da je u tome ne sprečava nadzornik od kojeg su osobni podaci povučeni. Kada je to tehnički izvedivo i dopušteno, podatke se, na zahtjev osobe čiji se podaci obrađuju, prenosi izravno od jednog nadzornika drugome.

 

2b. Ovim se člankom ne dovodi u pitanje obveza brisanja podataka kada oni više nisu potrebni u skladu s točkom (e) članka 5. stavka 1.

 

2c. U skladu sa stavcima 1. i 2. ne postoji pravo pristupa kad je riječ o podacima u smislu točke (da) članka 14. stavka 5., osim ako je osoba čiji se podaci obrađuju ovlaštena ukinuti predmetnu tajnu i u skladu s time djeluje.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za obavještavanje osobe čiji se podaci obrađuju o sadržaju osobnih podataka navedenih u točki (g) stavku 1.

 

4. Komisija može odrediti standardne obrasce i postupke za traženje i ostvarivanje pristupa informacijama iz stavka 1., uključujući provjeru identiteta osobe čiji se podaci obrađuju te informiranje osobe čiji se podaci obrađuju o osobnim podacima, uzimajući u obzir posebne karakteristike i potrebe raznih sektora i situacija za obradu podataka. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  112

Prijedlog Uredbe

Članak 17.

Tekst koji je predložila Komisija

Izmjena

Pravo na zaboravljanje i brisanje podataka

Pravo na brisanje podataka

1. Osoba čiji se podaci obrađuju ima pravo zatražiti od nadzornika da se izbrišu osobni podaci vezani uz nju te zatražiti izuzimanje iz daljnjeg širenja tih podataka, posebice u vezi s osobnim podacima koje je osoba čiji su podaci obrađuju otkrila kad je bila dijete, pri čemu vrijedi jedan od sljedećih razloga:

1. Osoba čiji se podaci obrađuju ima pravo zatražiti od nadzornika da se izbrišu osobni podaci vezani uz nju te zatražiti izuzimanje iz daljnjeg širenja tih podataka, te da joj treće strane omoguće brisanje svih poveznica, kopije ili replike tih podataka, pri čemu vrijedi jedan od sljedećih razloga

(a) podaci više nisu potrebni zbog svrhe za koje su prikupljeni ili obrađeni na drugi način;

(a) podaci više nisu potrebni zbog svrhe za koje su prikupljeni ili obrađeni na drugi način;

(b) osoba čiji se podaci obrađuju povlači suglasnost na kojoj se temelji obrada u skladu s točkom (a) članka 6. stavka 1., ili kada je isteklo dogovoreno razdoblje pohrane, te kada više ne postoji pravna osnova za obradu podataka;

(b) osoba čiji se podaci obrađuju povlači suglasnost na kojoj se temelji obrada u skladu s točkom (a) članka 6. stavka 1., ili kada je isteklo dogovoreno razdoblje pohrane, te kada više ne postoji pravna osnova za obradu podataka;

(c) osoba čiji se podaci obrađuju protivi se obradi osobnih podataka u skladu s člankom 19.;

(c) osoba čiji se podaci obrađuju protivi se obradi osobnih podataka u skladu s člankom 19.;

 

(ca) sud ili regulatorno tijelo utemeljeno u Uniji donijelo je konačnu i pravomoćnu odluku da se predmetne podatke mora izbrisati;

(d) obrada podataka nije usklađena s ovom Uredbom iz drugih razloga.

(d) podaci su nezakonito obrađeni.

 

1a. Primjena stavka 1. ovisi o mogućnosti nadzornika da provjeri kako je osoba koja traži brisanje osoba čiji se podaci obrađuju.

2. Ako nadzornik iz stavka 1. objavi osobne podatke, on poduzima sve opravdane korake, uključujući tehničke mjere, u odnosu na podatke za čije je objavljivanje odgovoran nadzornik, kako bi se obavijestilo treće strane koje obrađuju te podatke da osoba čiji se podaci obrađuju zahtijeva da se izbrišu sve poveznice, ili kopije ili replike tih osobnih podataka. Ako je nadzornik ovlastio treću stranu da objavi osobne podatke, nadzornik se smatra odgovornim za tu objavu.

2. Ako nadzornik iz stavka 1. objavi osobne podatke bez obrazloženja na temelju članka 6. stavka 1., on poduzima sve opravdane korake kako bi se podaci izbrisali, uključujući kod trećih strana, ne dovodeći pritom u pitanje članak 77. Nadzornik, kad je to moguće, obavještava osobu čiji se podaci obrađuju o mjerama koje su poduzele relevantne treće strane.

3. Nadzornik će bez odgode provesti brisanje podataka, osim ako je njihova pohrana do neke mjere nužna :

3. Nadzornik, i prema potrebi treća strana, bez odgode provodi brisanje podataka, osim ako je do neke mjere nužna njihova pohrana:

(a) zbog ostvarivanja prava slobode govora u skladu s člankom 80.;

(a) zbog ostvarivanja prava slobode govora u skladu s člankom 80.;

(b) zbog općeg interesa u području javnog zdravlja u skladu s člankom 81.;

(b) zbog općeg interesa u području javnog zdravlja u skladu s člankom 81.;

(c) u svrhu povijesnog, statističkog i znanstvenog istraživanja u skladu s člankom 83.;

(c) u svrhu povijesnog, statističkog i znanstvenog istraživanja u skladu s člankom 83.;

(d) zbog usklađenosti s pravnom obvezom o pohranjivanju osobnih podataka prema pravu Unije ili nacionalnom zakonodavstvu kojem podliježe nadzornik; zakonima države članice treba se ostvariti cilj od javnog interesa, poštovati bit prava na zaštitu osobnih podataka te oni trebaju biti proporcionalni u odnosu na legitimni cilj koji se želi ostvariti;

(d) zbog usklađenosti s pravnom obvezom o pohranjivanju osobnih podataka prema pravu Unije ili nacionalnom zakonodavstvu kojem podliježe nadzornik; zakonima države članice ostvaruje se cilj od javnog interesa, poštuje pravo na zaštitu osobnih podataka te su oni proporcionalni u odnosu na legitimni cilj koji se želi ostvariti;

(e) u slučajevima iz stavka 4.

(e) u slučajevima iz stavka 4.

4. Umjesto brisanja, nadzornik će ograničiti obradu osobnih podataka ako:

4. Umjesto brisanja, nadzornik ograničava obradu osobnih podataka na način da ne podliježe uobičajenim postupcima pristupanja podacima i njihove obrade i više se ne može mijenjati ako:

(a) osoba čiji se podaci obrađuju osporava njihovu točnost, u razdoblju u kojem nadzornik može provjeriti točnost podataka;

(a) osoba čiji se podaci obrađuju osporava njihovu točnost, u razdoblju u kojem nadzornik može provjeriti točnost podataka;

(b) nadzorniku osobni podaci više nisu potrebni za ostvarenje svog zadatka, ali ih se mora sačuvati u svrhu dokaza;

(b) nadzorniku osobni podaci više nisu potrebni za ostvarenje svog zadatka, ali ih se mora sačuvati u svrhu dokaza;

(c) je obrada nezakonita i osoba čiji se podaci obrađuju se protivi njihovu brisanju i umjesto toga traži njihovo ograničeno korištenje;

(c) je obrada nezakonita i osoba čiji se podaci obrađuju se protivi njihovu brisanju i umjesto toga traži njihovo ograničeno korištenje;

 

(ca) sud ili regulatorno tijelo utemeljeno u Uniji donijelo konačnu i pravomoćnu odluku da se predmetne podatke mora ograničiti;

(d) osoba čiji se podaci obrađuju traži da se osobni podaci prenesu u drugi automatizirani sustav obrade u skladu s člankom 18. stavkom 2.

(d) osoba čiji se podaci obrađuju traži da se osobni podaci prenesu u drugi automatizirani sustav obrade u skladu sa stavcima 2a. članka 15.;

 

(da) određena vrsta tehnologije pohranjivanja ne omogućuje brisanje te je ugrađena prije stupanja na snagu ove Uredbe.

5. Osobni podaci iz stavka 4. mogu se, s iznimkom pohranjivanja, obrađivati samo u svrhu dokazivanja, ili uz suglasnost osobe čiji se podaci obrađuju, ili za zaštitu prava druge fizičke ili pravne osobe ili za cilj od javnog interesa.

5. Osobni podaci iz stavka 4. mogu se, s iznimkom pohranjivanja, obrađivati samo u svrhu dokazivanja, ili uz suglasnost osobe čiji se podaci obrađuju, ili za zaštitu prava druge fizičke ili pravne osobe ili za cilj od javnog interesa.

6. Ako je obrada osobnih podataka ograničena u skladu sa stavkom 4., nadzornik treba obavijestiti osobu čiji se podaci obrađuju prije uklanjanja ograničenja obrade.

6. Ako je obrada osobnih podataka ograničena u skladu sa stavkom 4., nadzornik obavještava osobu čiji se podaci obrađuju prije uklanjanja ograničenja obrade.

7. Nadzornik treba donijeti mehanizme kojima bi se osiguralo poštovanje vremenskog okvira određenog za brisanje osobnih podataka i/ili za periodičku reviziju potrebe pohranjivanja podataka.

 

8. Kada se provede brisanje, nadzornik ne smije na drugi način obrađivati te osobne podatke.

8. Kada se provede brisanje, nadzornik ne smije na drugi način obrađivati te osobne podatke.

 

8a. Nadzornik provodi mehanizme kojima bi se osiguralo poštovanje vremenskog okvira određenog za brisanje osobnih podataka i/ili za periodičku reviziju potrebe pohranjivanja podataka.

9. Komisija je ovlaštena donijeti delegirane akte u skladu s člankom 86. u svrhu daljnjeg određivanja:

9. Komisija je, nakon traženja mišljenja Europskog odbora za zaštitu podataka, ovlaštena donijeti delegirane akte u skladu s člankom 86. u svrhu daljnjeg određivanja:

(a) kriterija i uvjeta za primjenu stavka 1. za pojedine sektore i pojedinačne situacije obrade podataka;

(a) kriterija i uvjeta za primjenu stavka 1. za pojedine sektore i pojedinačne situacije obrade podataka;

(b) uvjeta brisanja poveznica, kopija i replika osobnih podataka iz javno dostupnih sredstava komunikacije iz stavka 2.;

(b) uvjeta brisanja poveznica, kopija ili replika osobnih podataka iz javno dostupnih sredstava komunikacije iz stavka 2.;

(c) kriterija i uvjeta za ograničavanje obrade osobnih podataka iz stavka 4.;

(c) kriterija i uvjeta za ograničavanje obrade osobnih podataka iz stavka 4.;

Amandman  113

Prijedlog Uredbe

Članak 18.

Tekst koji je predložila Komisija

Izmjena

Pravo na prijenos podataka

Briše se.

1. Osoba čiji se podaci obrađuju ima pravo, ako se osobni podaci obrađuju elektroničkim putem te pomoću strukturiranog i uobičajenog formata, dobiti od nadzornika kopiju podataka koji se obrađuju u elektroničkom i strukturiranom formatu koji je uobičajen i dopušta daljnju upotrebu od strane osobe čiji se podaci obrađuju.

 

2. Ako je osoba čiji se podaci obrađuju ustupila osobne podatke i obrada se temelji na suglasnosti ili na ugovoru, osoba čiji se podaci obrađuju ima pravo prenijeti te osobne podatke i bilo koje druge informacije koje je ustupila osoba čiji se podaci obrađuju, te su pohranjeni automatiziranim sustavom obrade, u drugi, elektronički format koji se često koristi, a da je u tome ne sprečava nadzornik od kojeg su osobni podaci povučeni.

 

3. Komisija može odrediti elektronički format iz stavka 1. i tehničke standarde, načine i postupke za prijenos osobnih podataka u skladu sa stavkom 2. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  114

Prijedlog Uredbe

Članak 19.

Tekst koji je predložila Komisija

Izmjena

Pravo prigovora

Pravo prigovora

1. Osoba čiji se podaci obrađuju ima, na osnovi svoje posebne situacije, pravo prigovora u bilo kojem trenutku obrade osobnih podataka što se temelji na točkama (d), (e) i (f) članka 6. stavka 1., osim ako nadzornik nema uvjerljive legitimne razloge za obradu koji nadvladavaju interese ili temeljna prava i slobode osobe čiji se podaci obrađuju.

1. Osoba čiji se podaci obrađuju ima pravo prigovora u bilo kojem trenutku obrade osobnih podataka što se temelji na točkama (d) i (e) članka 6. stavka 1., osim ako nadzornik nema uvjerljive legitimne razloge za obradu koji nadvladavaju interese ili temeljna prava i slobode osobe čiji se podaci obrađuju.

2. Ako se osobni podaci obrađuju u izravne marketinške svrhe, osoba čiji se podaci obrađuju ima pravo besplatno se protiviti obradi svojih osobnih podataka za takav marketing. To se pravo treba izričito ponuditi osobi čiji se podaci obrađuju na razumljiv način i treba se jasno razdvojiti u odnosu na druge informacije.

2. Ako se obrada osobnih podataka temelji na točki (f) članka 6. stavka 1., osoba čiji se podaci obrađuju ima pravo u bilo koje vrijeme i bez dodatnog obrazloženja općenito ili radi bilo kakve posebne svrhe besplatno se protiviti obradi svojih osobnih podataka.

 

2a. Pravo iz stavka 2. izričito se nudi osobi čiji se podaci obrađuju na razumljiv način i u razumljivom obliku, sročeno jasnim i jednostavnim jezikom, osobito ako je posebno namijenjeno djetetu i jasno se razdvaja u odnosu na druge informacije.

 

2b. U kontekstu korištenja uslugama informacijskog društva i neovisno o Direktivi 2002/58/EZ, pravo na prigovor može se ostvarivati automatiziranim putem korištenjem tehničkim standardom koji osobi čiji se podaci obrađuju omogućava jasno izražavanje njezinih želja.

3. U slučaju usvajanja prigovora u skladu sa stavcima 1. i 2., nadzornik više ne smije koristiti ili na druge načine obrađivati dotične osobne podatke.

3. U slučaju usvajanja prigovora u skladu sa stavcima 1. i 2., nadzornik se više ne koristi dotičnim osobnim podacima ili ih na druge načine obrađuje u svrhe utvrđene u prigovoru.

(The last sentence of paragraph 2 in the Commission text has become paragraph 2a in Parliament's amendment).

Amandman  115

Prijedlog Uredbe

Članak 20.

Tekst koji je predložila Komisija

Izmjena

Mjere koje se temelje na profiliranju

Profiliranje

1. Svaka fizička osoba ima pravo ne podlijegati mjeri koja ima pravni učinak u vezi s tom fizičkom osobom ili uvelike utječe na tu fizičku osobu, a koja se temelji isključivo na automatiziranoj obradi radi procjene određenih osobnih karakteristika te fizičke osobe ili radi analize ili predviđanja posebice u vezi s radnim učinkom te fizičke osobe, financijskom situacijom, lokacijom, zdravljem, osobnim sklonostima, pouzdanošću ili ponašanjem.

1. Ne dovodeći u pitanje odredbe iz članka 6., svaka fizička osoba ima pravo prigovora na profiliranje u skladu s člankom 19. Osobu čiji se podaci obrađuju obavještava se o pravu prigovora na profiliranje na veoma vidljiv način.

2. U skladu s drugim odredbama ove Uredbe, osoba može podleći onoj vrsti mjere kakva se nalazi u stavku 1. samo ako:

2. U skladu s drugim odredbama ove Uredbe, osoba može podleći profiliranju koje rezultira mjerama s pravnim učincima na osobu čiji se podaci obrađuju ili slično tome znatno utječu na interese, prava ili slobode predmetne osobe čiji se podaci obrađuju samo ako:

(a) se obrada provodi tijekom stupanja na snagu ili provođenja ugovora, a zahtjev, koji je uložila osoba čiji se podaci obrađuju, za stupanje na snagu ili provođenje ugovora je ispunjen ili ako su poduzete odgovarajuće mjere kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju, primjerice pravo na izravno ljudsko posredovanje; ili

(a) je neophodna za stupanje na snagu ili provođenje ugovora, a zahtjev, koji je uložila osoba čiji se podaci obrađuju, za stupanje na snagu ili provođenje ugovora je ispunjen pod uvjetom da su poduzete odgovarajuće mjere kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju; ili

(b) je obrada izričito odobrena pravom Unije ili zakonodavstvom države članice kojim se također određuju odgovarajuće mjere za očuvanje legitimnih interesa osobe čiji se podaci obrađuju; ili

(b) je obrada izričito odobrena pravom Unije ili zakonodavstvom države članice kojim se također određuju odgovarajuće mjere za očuvanje legitimnih interesa osobe čiji se podaci obrađuju;

(c) se obrada temelji na suglasnosti osobe čiji se podaci obrađuju, u skladu s uvjetima utvrđenima člankom 7. i odgovarajućim mjerama zaštite.

(c) se obrada temelji na suglasnosti osobe čiji se podaci obrađuju, u skladu s uvjetima utvrđenima člankom 7. i odgovarajućim mjerama zaštite.

3. Automatizirana obrada osobnih podataka radi procjene određenih osobnih karakteristika fizičke osobe ne smije se temeljiti samo na posebnim kategorijama osobnih podataka iz članka 9.

3. Zabranjuje se profiliranje koje ima učinak diskriminacije pojedinaca na temelju rasnog ili etničkog porijekla, političkih mišljenja, vjere ili uvjerenja, članstva u sindikatu, spolne opredijeljenosti ili spolnog identiteta, ili koje rezultira mjerama koje imaju takav učinak. Nadzornik provodi učinkovitu zaštitu od moguće diskriminacije na temelju profiliranja. Profiliranje se ne temelji samo na posebnim kategorijama osobnih podataka iz članka 9.

4. U slučajevima iz stavka 2., informacije koje treba ustupiti nadzornik prema članku 14. moraju sadržati podatke o postojanju obrade radi mjera iz stavka 1. i predviđenim učincima takve obrade na osobu čiji se podaci obrađuju.

 

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za odgovarajuće mjere radi zaštite legitimnih interesa osobe čiji se podaci obrađuju navedenih u stavku 2.

5. Profiliranje koje rezultira mjerama s pravnim učinkom na osobu čiji se podaci obrađuju ili slično tomu uvelike utječu na interese, prava ili slobode predmetne osobe čiji se podaci obrađuju ne temelji se samo ili prvenstveno na automatiziranoj obradi i uključuje ljudsku procjenu, a također pojašnjenje odluke donesene nakon takve procjene. Odgovarajuće mjere radi zaštite legitimnih interesa osobe čiji se podaci obrađuju navedenih u stavku 2. uključuju pravo na podvrgavanje ljudskoj procjeni i pojašnjenje odluke donesene nakon takve procjene.

 

5a. Europskom odboru za zaštitu podataka povjerena je zadaća izdavanja smjernica, preporuka i najboljih praksi u skladu s člankom 66. stavkom 1. točkom (b) u svrhu dodatnog određivanja kriterija i uvjeta za oblikovanje profila na temelju stavka 2.

Amandman  116

Prijedlog Uredbe

Članak 21.

Tekst koji je predložila Komisija

Izmjena

Ograničenja

Ograničenja

1. Pravom Unije ili zakonodavstvom države članice mogu se donijeti pravni propisi za ograničavanje područja primjene obveza i prava iz točaka (a) do (e) članka 5. i članaka 11. do 20. te članka 32. kada takvo ograničavanje predstavlja potrebne i proporcionalne mjere u demokratskom društvu za zaštitu:

1. Pravom Unije ili zakonodavstvom države članice mogu se donijeti pravni propisi za ograničavanje područja primjene obveza i prava iz članaka 11. do 19. te članka 32. kada se takvim ograničavanjem ispunjava jasno definiran cilj javnog interesa, poštuje bit prava na zaštitu osobnih podataka, kada je on proporcionalan legitimnom cilju koji se želi ostvariti i kada se njime poštuju temeljna prava i interesi osobe čiji se podaci obrađuju te kad predstavlja potrebnu i proporcionalnu mjeru u demokratskom društvu za zaštitu:

(a) javne sigurnosti;

(a) javne sigurnosti;

(b) sprečavanja, istrage, otkrivanja i progona kaznenih djela;

(b) sprečavanja, istrage, otkrivanja i progona kaznenih djela;

(c) drugih javnih interesa Unije ili države članice, posebice važnog gospodarskog ili financijskog interesa Unije ili države članice, uključujući novčana, proračunska i porezna pitanja i zaštitu tržišne stabilnosti i cjelovitosti;

(c) poreznih pitanja;

(d) sprečavanja, istrage, otkrivanja i progona zbog kršenja etičkih načela u zakonski reguliranim profesijama;

(d) sprečavanja, istrage, otkrivanja i progona zbog kršenja etičkih načela u zakonski reguliranim profesijama;

(e) nadzora, inspekcije ili regulatorne funkcije povezane, čak povremeno, s izvršavanjem javnih ovlasti u slučajevima iz točaka (a), (b), (c) i (d);

(e) nadzora, inspekcije ili regulatorne funkcije povezane u okviru izvršavanja nadležnog javnog tijela u slučajevima iz točaka (a), (b), (c) i (d);

(f) zaštite osobe čiji se podaci obrađuju ili prava i sloboda drugih.

(f) zaštite osobe čiji se podaci obrađuju ili prava i sloboda drugih.

2. Bilo koja zakonodavna mjera iz stavka 1., posebice, treba sadržavati posebne odredbe barem u pogledu ciljeva koje treba dostići obradom i određivanja nadzornika.

2. Bilo koja zakonodavna mjera, posebice, iz stavka 1. mora biti neophodna i proporcionalna u demkratskom društvu te sadržava posebne odredbe barem u pogledu:

 

(a) ciljeva koje treba nastojati ostvariti obradom;

 

(b) odlučnosti nadzornika;

 

(c) posebnih svrha i načina obrade;

 

(d) mjera zaštita za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa;

 

(e) prava osoba čiji se podaci obrađuju na informiranje o ograničavanju.

 

2a. Zakonodavnim mjerama iz stavka 1. privatnim se nadzornicima podataka ne odobrava niti ih se obvezuje na pohranjivanje podataka osim onih koji su nužno potrebni za ispunjenje prvotne svrhe.

(The last words of paragraph 2 in the Commission text have become point (a) and (b) in Parliament's amendment).

Amandman  117

Prijedlog Uredbe

Članak 22.

Tekst koji je predložila Komisija

Izmjena

Odgovornost nadzornika

Odgovornost i pouzdanost nadzornika

1. Nadzornik treba usvojiti politike i provesti odgovarajuće mjere kako bi se osiguralo i dokazalo da se obrada osobnih podataka provodi u skladu s Uredbom.

1. Nadzornik usvaja odgovarajuće politike i provodi odgovarajuće i dokazive tehničke i organizacijske mjere radi osiguravanja i sposobnosti transparentnog dokazivanja činjenice da se obrada osobnih podataka provodi u skladu s ovom Uredbom, uzimajući u obzir stanje, prirodu obrade osobnih podataka, kontekst, opseg i svrhe obrade, rizike za prava i slobode osoba čiji se podaci obrađuju i vrstu organizacije u trenutku utvrđivanja sredstava obrade i u trenutku same obrade.

 

1a. Uzimajući u obzir stanje i trošak provedbe, nadzornik poduzima sve opravdane korake radi provedbe politika i postupaka usklađivanja kojima se trajno poštuje samostalan izbor osoba čiji se podaci obrađuju. Te politike usklađivanja revidira se barem svake dvije godine i prema potrebi ažurira.

2. Mjere iz stavka 1. posebno uključuju:

 

(a) vođenje dokumentacije u skladu s člankom 28.;

 

(b) provođenje zahtjeva o sigurnosti podataka određenih člankom 30.;

 

(c) provođenje procjene učinka zaštite podataka u skladu s člankom 33.;

 

(d) poštovanje zahtjeva za prethodnim odobrenjem ili prethodnim savjetovanjem nadzornog tijela u skladu s člankom 34. stavcima 1. i 2.;

 

(e) imenovanje službenika za zaštitu podataka u skladu s člankom 35. stavkom 1.;

 

3. Nadzornik treba provesti mehanizme za osiguranje provjere učinkovitosti mjera iz stavaka 1. i 2. Ako je razmjerno, tu provjeru provode nezavisni interni ili vanjski revizori.

3. Nadzornik je sposoban dokazati prikladnost i učinkovitosti mjera iz stavaka 1. i 2. Sva redovita opća izvješća o aktivnostima nadzornika, kao što su obavezna izvješća trgovačkih društava uvrštenih na burzu, sadrže sažet opis politika i mjera iz stavka 1.

 

3a. Nadzornik ima pravo prenositi osobne podatke u skupini poduzeća unutar Unije kojima nadzornik pripada ako je takva obrada nužna radi legitimnih unutarnjih administrativnih svrha povezanih područja poslovanja u toj skupini poduzeća i ako je unutarnjim odredbama za zaštitu podataka ili jednakovrijednim pravilima ponašanja iz članka 38. zajamčena odgovarajuća razina zaštite podataka te interesi osoba čiji se podaci obrađuju.

4. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za odgovarajuće mjere iz stavka 1. osim onih već navedenih u stavku 2., uvjeta za provjeru i reviziju mehanizama iz stavka 3. i kriterija za proporcionalnost iz stavka 3., te razmatranja posebnih mjera za mirko, mala i srednja poduzeća.

 

Amandman  118

Prijedlog Uredbe

Članak 23.

Tekst koji je predložila Komisija

Izmjena

Tehnička i integrirana zaštita podataka

Tehnička i integrirana zaštita podataka

1. Uzimajući u obzir stanje i troškove provedbe, nadzornik treba, u trenutku određivanja sredstava obrade i u trenutku same obrade, provesti odgovarajuće tehničke i organizacijske mjere i postupke tako da obrada bude u skladu s odredbama ove Uredbe te da se osigura zaštita prava osoba čiji se podaci obrađuju.

1. Uzimajući o obzir stanje, trenutačno tehničko znanje, najbolje prakse u svijetu i rizike koje predstavlja obrada podataka, nadzornik i obrađivač, ako postoji, u trenutku određivanja svrha i sredstava obrade i u trenutku same obrade, provode odgovarajuće i proporcionalne tehničke i organizacijske mjere i postupke tako da obrada bude u skladu s odredbama ove Uredbe te da se osigura zaštita prava osoba čiji se podaci obrađuju, osobito u vezi s načelima iz članka 5. Pri tehničkoj zaštiti podataka posebnu se pozornost posvećuje upravljanju cjelokupnog životnog ciklusa osobnih podataka, od prikupljanja preko obrade do brisanja, pri čemu se sustavno usredotočuje na sveohubvatne postupovne mjere zaštite u pogledu točnosti, pouzdanosti, cjelovitosti, fizičke zaštite i brisanja osobnih podatka. Ako je nadzornik proveo procjenu učinka zaštite podataka u skladu s člankom 33., rezultate se uzima u obzir pri razvoju tih mjera i postupaka.

 

1a. Radi poticanja njezine proširene provedbe u različitim gospodarskim sektorima, tehnička zaštita podataka predstavlja preduvjet natječaja javne nabave u skladu s Direktivom 2004/18/EZ Europskog parlamenta i Vijeća1 te u skladu s Direktivom 2004/17/EZ Europskog parlamenta i Vijeća2 (komunalna direktiva).

2. Nadzornik treba provesti mehanizme kojima će se osigurati da se automatizirano obrađuju samo oni osobni podaci koji su nužni za određenu svrhu obrade i da se prije svega ne prikupljaju ili zadržavaju više od minimuma nužnog za te svrhe, to se odnosi i na količinu podataka i na razdoblje njihove pohrane. Tim se mehanizmima posebno treba osigurati da osobni podaci ne budu automatski dostupni neodređenom broju osoba.

2. Nadzornik osigurava da se automatski obrađuju samo oni osobni podaci koji su nužni za određenu svrhu obrade i da se prije svega ne prikupljaju, zadržavaju ili šire više od minimuma nužnog za svaku od tih svrha, to se odnosi i na količinu podataka i na razdoblje njihove pohrane. Tim se mehanizmima posebno treba osigurati da osobni podaci ne budu automatski dostupni neodređenom broju osoba i da su osobe čiji se podaci obrađuju u mogućnosti nadzirati širenje svojih osobnih podataka.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za odgovarajuće mjere iz stavaka 1. i 2., posebice za zaštitu podataka tehničkim preduvjetima primjenjivim u više sektora, na više proizvoda i usluga.

 

4. Komisija može odrediti tehničke standarde za preduvjete iz stavaka 1. i 2. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

 

Direktiva 2004/18/EZ Europskog parlamenta i Vijeća od 31. ožujka 2004. o usklađivanju postupaka za sklapanje ugovora o javnim radovima, ugovora o javnoj nabavi i ugovora o javnim uslugama (SL L 134, 30.4.2004., str. 114.).

Direktiva 2004/17/EZ Europskog parlamenta i Vijeća od 31. ožujka 2004. o usklađivanju postupaka nabave subjekata koji posluju u vodnom, energetskom, prometnom sektoru i sektoru poštanskih usluga (SL L 134, 30.4.2004., str.1.).

Amandman  119

Prijedlog Uredbe

Članak 24.

Tekst koji je predložila Komisija

Izmjena

Zajednički nadzornici

Zajednički nadzornici

Ako nadzornik određuje svrhu, uvjete i sredstva obrade osobnih podataka zajedno s ostalima, zajednički nadzornici trebaju međusobnim dogovorom odrediti pojedinačne odgovornosti za usklađenost s obvezama iz ove Uredbe, posebice u vezi s postupcima i mehanizmima za korištenje prava osobe čiji se podaci obrađuju

Ako nekoliko nadzornika zajednički određuje svrhe i sredstva obrade osobnih podataka zajedno s ostalima, zajednički nadzornici međusobnim dogovorom određuju pojedinačne odgovornosti za usklađenost s obvezama iz ove Uredbe, posebno u vezi s postupcima i mehanizmima za ostvarivanje prava osobe čiji se podaci obrađuju Mehanizmom se propisno ogledaju pojedinačne stvarne uloge zajedničkih nadzornika i njihovi odnosi prema osobama čiji se podaci obrađuju te se bit mehanizma daje na raspolaganje osobi čiji se podaci obrađuju. U slučaju nejasnoća u pogledu odgovornosti nadzornici zajednički i pojedinačno snose odgovornost.

Amandman  120

Prijedlog Uredbe

Članak 25.

Tekst koji je predložila Komisija

Izmjena

Predstavnici nadzornika koji nemaju poslovni nastan u Uniji

Predstavnici nadzornika koji nemaju poslovni nastan u Uniji

1. U situaciji navedenoj u članku 3. stavku 2. nadzornik treba odrediti predstavnika u Uniji.

1. U situaciji navedenoj u članku 3. stavku 2. nadzornik određuje predstavnika u Uniji.

2. Ova se obveza ne primjenjuje:

2. Ova se obveza ne primjenjuje:

(a) na nadzornika s poslovnim nastanom u trećoj zemlji ako je Komisija odlučila da treća zemlja pruža odgovarajuću razinu zaštite u skladu s člankom 41.; ili

(a) na nadzornika s poslovnim nastanom u trećoj zemlji ako je Komisija odlučila da treća zemlja pruža odgovarajuću razinu zaštite u skladu s člankom 41.; ili

(b) na tvrtku koja zapošljava manje od 250 osoba; ili

(b) na nadzornika koji obrađuje osobne podatke koji se odnose na manje od 5000 osoba čiji se podaci obrađuju tijekom svakog uzastopnog razdoblja od 12 mjeseci i koji ne obrađuje posebne kategorije osobnih podataka iz članka 9. stavka 1., podatke o lokaciji ili o djeci ili zaposlenicima u opsežnim sustavima podataka; ili

(c) na javnu ustanovu ili tijelo; ili

(c) na javnu ustanovu ili tijelo; ili

(d) na nadzornika koji samo povremeno nudi robu ili usluge osobama čiji se podaci obrađuju, a borave u Uniji;

(d) na nadzornika koji samo povremeno nudi robu ili usluge osobama čiji se podaci obrađuju osim ako se obrada osobnih podataka odnosi na posebne kategorije osobnih podataka iz članka 9. stavka 1., na podatke o lokaciji ili o djeci ili zaposlenicima u opsežnim sustavima podataka.

3. Predstavnik treba imati sjedište u jednoj od država članica u kojoj borave osobe čiji se osobni podaci obrađuju zbog toga da bi im se nudile robe ili usluge, ili čiji se ponašanje nadzire.

3. Predstavnik ima sjedište u jednoj od država članica u kojima se nude robe ili usluge osobama čiji se podaci obrađuju ili u kojima ih se nadzire.

4. Nadzornik treba imenovati predstavnika ne dovodeći u pitanje pravne postupke koji bi se mogli pokrenuti protiv samog nadzornika.

4. Nadzornik treba imenovati predstavnika ne dovodeći u pitanje pravne postupke koji bi se mogli pokrenuti protiv samog nadzornika.

Amandman  121

Prijedlog Uredbe

Članak 26.

Tekst koji je predložila Komisija

Izmjena

Obrađivač

Obrađivač

1. Kada u ime nadzornika treba provesti postupak obrade, nadzornik treba izabrati obrađivača koji može u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera i postupaka na način da obrada bude u skladu s odredbama ove Uredbe te osigurati zaštitu prava osobe čiji se podaci obrađuju, posebice u vezi s mjerama tehničke sigurnosti i organizacijskim mjerama za postupak obrade te treba osigurati usklađenost s tim mjerama.

1. Kada u ime nadzornika treba provesti obradu, nadzornik izabire obrađivača koji može u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera i postupaka na način da obrada bude u skladu s odredbama ove Uredbe te osigurava zaštitu prava osobe čiji se podaci obrađuju, posebice u vezi s mjerama tehničke sigurnosti i organizacijskim mjerama za postupak obrade te osigurava usklađenost s tim mjerama.

2. Obrađivačevo provođenje obrade treba se temeljiti na ugovoru ili drugom pravnom aktu kojim se obrađivač obvezuje prema nadzorniku te se posebice utvrđuje da obrađivač treba:

2. Obrađivačevo provođenje obrade temelji se na ugovoru ili drugom pravnom aktu kojim se obrađivač obvezuje prema nadzorniku. Nadzornik i obrađivač imaju slobodu odrediti svoje pojedinačne uloge i zadaće u pogledu zahtjeva iz ove Uredbe te osiguravaju da obrađivač:

(a) djelovati samo prema uputama nadzornika, posebice ako je zabranjen prijenos osobnih podataka;

(a) obrađuje osobne podatke samo prema uputama nadzornika osim ako nešto drukčije nalaže pravo Unije ili države članice;

(b) zaposliti samo osoblje koje se obvezalo na povjerljivost ili podliježe zakonskim odredbama o povjerljivosti;

(b) zapošljava samo osoblje koje se obvezalo na povjerljivost ili podliježe zakonskim odredbama o povjerljivosti;

(c) poduzeti sve potrebne mjere u skladu s člankom 30.;

(c) poduzima sve potrebne mjere u skladu s člankom 30.;

(d) zaposliti drugog obrađivača samo uz prethodnu dozvolu nadzornika;

(d) utvrđuje uvjete za zapošljavanje drugog obrađivača samo uz prethodno dopuštenje nadzornika osim ako nije drukčije utvrđeno;

(e) ako je moguće, s obzirom na prirodu obrade, u dogovoru s nadzornikom odrediti nužne tehničke i organizacijske preduvjete za ispunjenje nadzornikove obveze u skladu sa zahtjevima za korištenjem prava osobe čiji se podaci obrađuju u skladu s poglavljem III.;

(e) koliko je to moguće, s obzirom na prirodu obrade, u dogovoru s nadzornikom određuje odgovarajuće i relevantne tehničke i organizacijske preduvjete za ispunjenje nadzornikove obveze u skladu sa zahtjevima za korištenjem prava osobe čiji se podaci obrađuju u skladu s poglavljem III.;

(f) pomoći nadzorniku kako bi se osigurala usklađenost s obvezama u skladu s člancima 30. do 34.;

(f) pomaže nadzorniku kako bi se osigurala usklađenost s obvezama u skladu s člancima 30. do 34. uzimajući u obzir prirodu obrade i informacije koje su dostupne obrađivaču;

(g) uručiti nadzorniku rezultate na kraju obrade i ne obrađivati osobne podatke na drugi način;

(g) vrati sve rezultate nadzorniku na kraju obrade, ne obrađivati osobne podatke na drugi način i izbriše postojeće kopije osim ako pravo Unije ili države članice zahtijeva pohranjivanje podataka;

(h) nadzorniku i nadzornom tijelu ustupiti sve informacije potrebne za nadzor usklađenosti obveza u skladu s ovim člankom.

(h) nadzorniku ustupi sve informacije potrebne za dokazivanje usklađenosti obveza u skladu s ovim člankom i inspekcijama na licu mjesta;

3. Nadzornik i obrađivač trebaju u pisanom obliku zabilježiti nadzornikove upute i obrađivačeve obveze iz stavka 2.

3. Nadzornik i obrađivač u pisanom obliku bilježe nadzornikove upute i obrađivačeve obveze iz stavka 2.

 

3a. Dovoljna jamstva iz stavka 1. mogu se dokazati pridržavajući se pravila postupanja ili mehanizama certificiranja u skladu s člancima 38. ili 39. ove Uredbe.

4. Ako obrađivač obrađuje osobne podatke na način koji ne odgovara uputama nadzornika, obrađivač se smatra nadzornikom pri takvoj obradi te podliježe uvjetima o zajedničkim nadzornicima utvrđenima člankom 24.

4. Ako obrađivač obrađuje osobne podatke na način koji ne odgovara uputama nadzornika ili postane strana koja utvrđuje svrhe i načine obrade podataka, obrađivač se smatra nadzornikom pri takvoj obradi te podliježe pravilima o zajedničkim nadzornicima utvrđenima člankom 24.

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i uvjeta za odgovornosti, dužnosti i zadaće u vezi s obrađivačem u skladu sa stavkom 1., te uvjetima kojima se olakšava obrada osobnih podataka u grupi poduzetnika, posebice radi nadzora i izvještavanja.

 

Amandman    122

Prijedlog Uredbe

Članak 28.

Tekst koji je predložila Komisija

Izmjena

Dokumentacija

Dokumentacija

1. Svaki nadzornik i obrađivač te, ako postoji, predstavnik nadzornika treba voditi dokumentaciju o svim postupcima obrade pod svojom nadležnošću.

1. Svaki nadzornik i obrađivač vodi redovito ažuriranu dokumentaciju potrebnu za ispunjavanje uvjeta utvrđenih ovom Uredbom.

2. Dokumentacija mora sadržavati barem sljedeće informacije:

2. Usto, svaki nadzornik i obrađivač vodi dokumentaciju sljedećih informacija:

(a) ime i kontaktne podatke nadzornika, ili bilo kojeg zajedničkog nadzornika ili obrađivača, i zastupnika, ako postoji;

(a) ime i kontaktne podatke nadzornika, ili bilo kojeg zajedničkog nadzornika ili obrađivača, i zastupnika, ako postoji;

(b) ime i kontaktne podatke službenika za zaštitu podataka, ako postoji;

(b) ime i kontaktne podatke službenika za zaštitu podataka, ako postoji;

(c) svrhu obrade, uključujući legitimne interese nadzornika ako se obrada temelji na točki (f) članka 6. stavka 1.;

 

(d) opis kategorija osoba čiji se podaci obrađuju te kategorija osobnih podataka koji se na njih odnose;

 

(e) primatelje ili kategorije primatelja osobnih podataka, uključujući nadzornike kojima se otkrivaju osobni podaci radi legitimnog interesa na čijem ostvarenju rade;

(e) ime i kontaktne podatke nadzornika kojemu se osobni podaci otkrivaju, ako postoje;

(f) ako je potrebno, prijenos podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz točke (h) članka 44. stavka 1., dokumentaciju o odgovarajućoj zaštiti;

 

(g) opću naznaku vremenskog roka za brisanje različitih kategorija podataka;

 

(h) opis mehanizama iz članka 22. stavka 3.

 

3. Nadzornik i obrađivač te, ako postoji, predstavnik nadzornika trebaju na zahtjev ustupiti dokumentaciju nadzornom tijelu.

 

4. Obveze iz stavaka 1. i 2. ne odnose se na sljedeće nadzornike i obrađivače:

Briše se.

(a) na fizičku osobu koja obrađuje osobne podatke bez komercijalnog interesa; ili

 

(b) na poduzeće ili organizaciju koja zapošljava manje od 250 osoba, a koja obrađuje podatke samo kao sporednu aktivnost uz svoje glavne aktivnosti.

 

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za dokumentaciju iz stavka 1. kako bi se uzele u obzir posebno odgovornosti nadzornika i obrađivača te, ako postoji, predstavnika nadzornika.

 

6. Komisija može odrediti standardne obrasce za dokumentaciju navedenu u stavku 1. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  123

Prijedlog Uredbe

Članak 29. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Nadzornik i obrađivač i, ako postoji, predstavnik nadzornika, trebaju, ako se to zatraži, surađivati s nadzornim tijelom pri obavljaju njegovih dužnosti, posebice pružajući informacije iz točke (a) članka 53. stavka 2. te omogućujući pristup kao što je navedeno u točki (b) tog stavka.

1. Nadzornik i, ako postoje,obrađivač i predstavnik nadzornika, surađuju, ako se to zatraži, s nadzornim tijelom pri obavljaju njegovih dužnosti, posebice pružajući informacije iz točke (a) članka 53. stavka 2. te omogućujući pristup kao što je navedeno u točki (b) tog stavka.

Amandman  124

Prijedlog Uredbe

Članak 30.

Tekst koji je predložila Komisija

Izmjena

Sigurnost obrade podataka

Sigurnost obrade podataka

1. Nadzornik i obrađivač moraju provoditi odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara rizicima obrade i prirodi osobnih podataka koje je potrebno zaštititi, imajući na umu vrstu podataka i troškove njihovog provođenja.

1. Nadzornik i obrađivač provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja odgovara rizicima obrade uzimajući u obzir rezultate procjene učinka zaštite podataka u skladu s člankom 33., imajući na umu vrstu i troškove njihovog provođenja.

 

1a. Uzimajući u obzir vrstu i troškove provođenja, takva sigurnosna politika uključuje:

 

(a) sposobnost osiguravanja potvrde integriteta osobnih podataka;

 

(b) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade osobnih podataka;

 

(c) sposobnosti ponovne uspostave dostupnosti i pristupa podacima na pravodoban način u slučaju fizičkog ili tehničkog incidenta koji utječe na dostupnost, cjelovitost i povjerljivost informacijskih sustava i usluga;

 

(d) u slučaju osjetljive obrade osobnih podataka u skladu s člancima 8. i 9. dodatne mjere sigurnosti radi osiguravanja svjesnosti situacije u pogledu rizika i sposobnosti poduzimanja preventivnih, korektivnih i ublažavajućih mjera u gotovo stvarnom vremenu protiv slabih točaka ili zamijećenih incidenata koji bi mogli predstavljati rizik za podatke;

 

(e) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti sigurnosnih politika, postupaka i planova uspostavljenih radi osiguranja trajne učinkovitosti.

2. Nadzornik i obrađivač moraju, nakon procjene rizika, poduzeti mjere iz stavka 1. kako bi zaštitili osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka te kako bi spriječili nezakonite oblike obrade, posebice nedozvoljeno otkrivanje, širenje ili pristup, ili izmjenu osobnih podataka.

2. Mjere iz stavka 1. barem:

 

(a) osiguravaju da osobnim podacima može pristupiti samo ovlašteno osoblje u zakonski odobrene svrhe;

 

(b) štite osobne podatke koji su pohranjeni ili preneseni kao zaštita od slučajnog ili nezakonitog uništavanja, slučajog gubitka ili izmjene i neovlaštenog ili nezakonitog pohranjivanja, obrade, pristupa ili otkrivanja; i

 

(c) osiguravaju provedbu sigurnosne politike u vezi s obradom osobnih podataka.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i uvjeta za tehničke i organizacijske mjere iz stavaka 1. i 2., uključujući definiranje pojma tehničkih dostignuća, za pojedinačne sektore i u pojedinačnim situacijama obrade podataka, vodeći posebno računa o tehnološkom razvoju i tehničkim rješenjima zaštite privatnosti te integriranoj zaštiti podataka, osim ako se primjenjuje stavak 4.

3. Europskom odboru za zaštitu podataka dodjeljuje se zadatak izdavanja smjernica, preporuka i najboljih praksi u skladu s točkom (b) članka 66. stavka 1. zatehničke i organizacijske mjere iz stavaka 1. i 2., uključujući definiranje pojma tehničkih dostignuća, za pojedinačne sektore i u pojedinačnim situacijama obrade podataka, vodeći posebno računa o tehnološkom razvoju i tehničkim rješenjima zaštite privatnosti te integriranoj zaštiti podataka.

4. Ako je potrebno, Komisija može donijeti provedbene akte radi određivanja preduvjeta utvrđenih stavcima 1. i 2. za različite situacije, posebno radi:

 

(a) sprečavanja nedopuštenog pristupa osobnim podacima;

 

(b) sprečavanja nedopuštenog otkrivanja, čitanja, kopiranja, mijenjanja, brisanja ili uklanjanja osobnih podataka;

 

(c) osiguranja provjere zakonitosti postupaka obrade.

 

Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

(Paragraph 2 in the Commission text has partly become point (b) in Parliament's amendment).

Amandman  125

Prijedlog Uredbe

Članak 31.

Tekst koji je predložila Komisija

Izmjena

Obavještavanje nadzornog tijela o povredi osobnih podataka

Obavještavanje nadzornog tijela o povredi osobnih podataka

1. U slučaju povrede osobnih podataka, nadzornik treba bez odgode i, ako je moguće, ne kasnije od 24 sata nakon što je saznao za povredu osobnih podataka, o tome obavijestiti nadzorno tijelo. Obavijesti upućenoj nadzornom tijelu treba biti priloženo obrazloženo opravdanje u slučaju da se ona ne pošalje unutar 24 sata.

1. U slučaju povrede osobnih podataka, nadzornik bez odgode o tome obavještava nadzorno tijelo.

2. U skladu s točkom (f) članka 26. stavka 2. obrađivač će upozoriti i obavijestiti nadzornika odmah nakon povrede osobnih podataka.

2. Obrađivač bez odgode upozorava i obavještava nadzornika nakon što sazna za povredu osobnih podataka.

3. Obaviješću iz stavka 1. mora se barem:

3. Obaviješću iz stavka 1. mora se barem:

(a) opisati prirodu povrede osobnih podataka uključujući kategorije i broj dotičnih osoba čiji se podaci obrađuju te kategorije i broj dotičnih podataka;

(a) opisati priroda povrede osobnih podataka uključujući kategorije i broj dotičnih osoba čiji se podaci obrađuju te kategorije i broj dotičnih podataka;

(b) iznijeti identitet i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke na kojoj se mogu dobiti informacije;

(b) iznijeti identitet i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke na kojoj se mogu dobiti informacije;

(c) predložiti mjere kojima bi se ublažili mogući štetni učinci povrede osobnih podataka;

(c) predložiti mjere kojima bi se ublažili mogući štetni učinci povrede osobnih podataka;

(d) opisati posljedice povrede osobnih podataka;

(d) opisati posljedice povrede osobnih podataka;

(e) opisati predložene mjere ili mjere koje je poduzeo nadzornik kao odgovor na povredu osobnih podataka.

(e) opisati predložene mjere ili mjere koje je poduzeo nadzornik kao odgovor na povredu osobnih podataka. i ublažiti njezine posljedice.

Informacije se prema potrebi mogu pružiti u fazama.

4. Nadzornik treba zabilježiti svaku povredu osobnih podataka, uključujući činjenice povezane s povredom, učinke povrede i poduzete pravne lijekove. Pomoću dokumentacije nadzornom se tijelu treba omogućiti provjera usklađenosti s ovim člankom. Dokumentacija treba sadržavati samo informacije potrebne u ovu svrhu.

4. Nadzornik bilježi svaku povredu osobnih podataka, uključujući činjenice povezane s povredom, učinke povrede i poduzete pravne lijekove. Ova dokumentacija mora biti dostatna da nadzornom tijelu omogući provjeru usklađenost s ovim člankom i člankom 30. Dokumentacija treba sadržavati samo informacije potrebne u ovu svrhu.

 

4a. Nadzorno tijelo vodi javnu evidenciju vrsta zabilježenih povreda.

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za utvrđivanje povrede podataka iz stavaka 1. i 2. te za posebne okolnosti u kojima nadzornik i obrađivač moraju izvijestiti o povredi osobnih podataka.

5. Europskom odboru za zaštitu podataka povjeren je zadatak izdavanja smjernica, preporuka i najboljih praksi u skladu s točkom (b) članka 66. stavka 1. za utvrđivanje povrede podataka i nepotrebne odgode iz stavaka 1. i 2. te za posebne okolnosti u kojima nadzornik i obrađivač moraju izvijestiti o povredi osobnih podataka.

6. Komisija može odrediti standardni obrazac za takvo obavještavanje nadzornog tijela, postupke koji se primjenjuju za obvezu obavještavanja te oblik i načine dokumentacije iz stavka 4., uključujući vremenski rok za brisanje navedenih informacija. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  126

Prijedlog Uredbe

Članak 32.

Tekst koji je predložila Komisija

Izmjena

Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka

Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka

1. Ako je vjerojatno da će zbog povrede osobnih podataka doći do štetnog učinka po zaštitu osobnih podataka ili privatnost osobe čiji se podaci obrađuju, nadzornik bez daljnjeg odlaganja, nakon obavještavanja iz članka 31., izvješćuje osobu čiji se podaci obrađuju o povredi osobnih podataka.

1. Ako je vjerojatno da će zbog povrede osobnih podataka doći do štetnog učinka po zaštitu osobnih podataka, privatnost, prava ili legitimne interese osobe čiji se podaci obrađuju, nadzornik bez daljnjeg odlaganja, nakon obavještavanja iz članka 31., izvješćuje osobu čiji se podaci obrađuju o povredi osobnih podataka.

2. U obavijesti osobi čiji se podaci obrađuju iz stavka 1. treba se opisati priroda povrede osobnih podataka te ona treba sadržavati barem informacije i preporuke iz točaka (b) i (c) članka 31. stavka 3.

Obavijest osobi čiji se podaci obrađuju iz stavka 1. opsežna je i sročena jasnim i jednostavnim jezikom. Njome se opisuje priroda povrede osobnih podataka i ona sadrži barem informacije i preporuke iz točaka (b), (c) i (d) članka 31. stavka 3. te informacije o pravima osoba čiji se podaci obrađuju, uključujući sudsku zaštitu.

3. Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka nije potrebno ako nadzornik dokaže da je proveo odgovarajuće mjere tehničke zaštite, kojima je nadzorno tijelo zadovoljno, te da su te mjere primijenjene na dotične podatke pogođene povredom osobnih podataka. Te tehničke mjere zaštite trebaju podatke učiniti nedostupnima svim osobama koje nisu ovlaštene pristupiti im.

3. Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka nije potrebno ako nadzornik dokaže da je proveo odgovarajuće mjere tehničke zaštite, kojima je nadzorno tijelo zadovoljno, te da su te mjere primijenjene na dotične podatke pogođene povredom osobnih podataka. Te tehničke mjere zaštite čine podatke nedostupnima svim osobama koje nisu ovlaštene pristupiti im.

4. Ne dovodeći u pitanje nadzornikovu obvezu da osobu čiji se podaci obrađuju obavijesti o povredi osobnih podataka, ako nadzornik još nije obavijestio o povredi osobnih podataka osobu na koju se ti podaci odnose, nadzorno tijelo, nakon razmatranja mogućeg štetnog učinka povrede, može zahtijevati da nadzornik to učini.

4. Ne dovodeći u pitanje nadzornikovu obvezu da osobu čiji se podaci obrađuju obavijesti o povredi osobnih podataka, ako nadzornik još nije obavijestio o povredi osobnih podataka osobu na koju se ti podaci odnose, nadzorno tijelo, nakon razmatranja mogućeg štetnog učinka povrede, može zahtijevati da nadzornik to učini.

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta vezanih uz okolnosti u kojima će povreda osobnih podataka vjerojatno imati štetan učinak na osobne podatke iz stavka 1.

Europskom odboru za zaštitu podataka povjeren je zadatak izdavanja smjernica, preporuka i najboljih praksi u skladu s točkom (b) članka 66. stavka 1. vezanih uz okolnosti u kojima će povreda osobnih podataka vjerojatno imati štetan učinak na osobne podatke, privatnost, prava ili legitimne interese osobe čiji se podaci obrađuju iz stavka 1.

6. Komisija može odrediti način obavještavanja osobe čiji se podaci obrađuju iz stavka 1. te postupke koji se odnose na to obavještavanje. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman  127

Prijedlog Uredbe

Članak 32.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 32.a

 

Poštovanje rizika

 

1. Nadzornik, i prema potrebi obrađivač, provodi analizu rizika potencijalnog učinka namjeravane obrade podataka na prava i slobode osoba čiji se podaci obrađuju, pri čemu se procjenjuje mogu li njegovi postupci obrade predstavljati određene rizike.

 

2. Sljedeći postupci obrade mogu predstavljati određene rizike:

 

(a) obrada osobnih podataka koji se odnose na više od 5000 osoba čiji se podaci obrađuju tijekom bilo kojeg uzastopnog razdoblja od 12 mjeseci;

 

(b) obrada posebnih kategorija osobnih podataka iz članka 9. stavka 1., podataka o lokaciji ili o djeci ili zaposlenicima u opsežnim sustavima podataka;

 

(c) izrada profila na kojemu se temelje mjere koje imaju pravni učinak za tu osobu ili slično tome znatno utječu na tu osobu;

 

(d) obrada osobnih podataka za pružanje zdravstvenih usluga, epidemiološka istraživanja ili studije o mentalnim ili zaraznim bolestima, kada se podaci u velikoj mjeri obrađuju radi donošenja mjera ili odlučivanja u vezi s određenim osobama;

 

(e) automatizirano praćenje javno dostupnih područja u velikoj mjeri;

 

(f) drugi postupci obrade za koje je potrebno savjetovanje sa službenikom za zaštitu podataka ili nadzornim tijelom u skladu s točkom (b) članka 34. stavka 2.;

 

(g) kada bi povreda osobnih podataka mogla štetno utjecati na zaštitu osobnih podataka, privatnost, prava ili legitimne interese osobe čiji se podaci obrađuju;

 

(h) se osnovne djelatnosti nadzornika ili obrađivača sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrhe iziskuju redovito i sustavno praćenje osoba čiji se podaci obrađuju;

 

(i) kada se osobne podatke učini dostupnima određenom broju osoba za koje se ne može opravdano očekivati da ih se ograniči.

 

3. U skladu s rezultatom analize rizika:

 

(a) kada postoji bilo koji postupak obrade iz točke (a) ili (b) stavka 2., nadzornici koji nemaju poslovni nastan u Uniji određuju predstavnika u Uniji u skladu s uvjetima i izuzecima utvrđenima u članku 25.;

 

(b) kada postoji bilo koji postupak obrade iz točke (a), (b) ili (h) stavka 2., nadzornik određuje službenika za zaštitu podataka u skladu s uvjetima i izuzecima utvrđenima u članku 35.;

 

(c) kada postoje bilo koji postupci obrade iz točaka (a), (b), (c), (d), (e), (f), (g) ili (h) stavka 2., nadzornik ili obrađivač koji djeluje u ime nadzornika provodi procjenu učinka zaštite podataka u skladu s člankom 33.;

 

(d) kada postoje postupci obrade iz točke (f) stavka 2., nadzornik se savjetuje sa službenikom za zaštitu podataka, ili ako on nije postavljen, s nadzornim tijelom u skladu s člankom 34.

 

4. Analizu rizika revidira se najkasnije nakon jedne godine ili odmah ako se znatno promijeni priroda, opseg ili svrha postupaka obrade podataka. Ako se u skladu s točkom (c) stavka 3. nadzornika ne obvezuje provesti procjenu učinka zaštite podataka, analizu rizika se dokumentira.

Amandman  128

Prijedlog Uredbe

Poglavlje 4. – odjeljak 3. – naslov

Tekst koji je predložila Komisija

Izmjena

PROCJENA UČINKA ZAŠTITE PODATAKA I PRETHODNO OVLAŠTENJE

UPRAVLJANJE ZAŠTITOM PODATAKA TIJEKOM NJIHOVOG CIJELOG ŽIVOTNOG CIKLUSA

Amandman  129

Prijedlog Uredbe

Članak 33.

Tekst koji je predložila Komisija

Izmjena

Procjena učinka zaštite podataka

Procjena učinka zaštite podataka

1. Ako postupci obrade zbog svoje prirode, opsega ili svrhe predstavljaju određeni rizik za prava i slobode osobe čiji se podaci obrađuju, nadzornik ili obrađivač koji djeluje u ime nadzornika treba provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

1. Ako je to u skladu s točkom (c) članka 32.a stavka 3. potrebno, nadzornik ili obrađivač koji djeluje u ime nadzornika provodi procjenu učinka predviđenih postupaka obrade na prava i slobode osobe čiji se podaci obrađuju, osobito njihovo pravo na zaštitu osobnih podataka Jedna procjena dovoljna je kako bi se riješio niz sličnih postupaka obrade koji predstavljaju slične rizike.

2. Sljedeći postupci obrade posebno predstavljaju rizik iz stavka 1.:

 

(a) sustavna i opsežna procjena osobnih aspekata u vezi s fizičkom osobom ili za analizu ili predviđanje posebno financijskog stanja, lokacije, zdravlja, osobnih sklonosti, pouzdanosti ili ponašanja fizičke osobe koji se temelje na automatiziranoj obradi i na kojima se temelje mjere koje imaju pravni učinak za tu osobu ili znatno utječu na tu osobu;

 

(b) podaci o spolnom životu, zdravlju, rasi i etničkom porijeklu ili za pružanje zdravstvenih usluga, epidemiološka istraživanja, studije o mentalnim ili zaraznim bolestima, kada se podaci u velikoj mjeri obrađuju radi donošenja mjera ili odlučivanja u vezi s određenim osobama;

 

(c) nadzor javno dostupnih područja, posebno ako se u velikoj mjeri koriste optičko-elektronički uređaji (videonadzor);

 

(d) osobni podaci u opsežnim zbirkama podataka koji se odnose na djecu, genetske podatke i biometričke podatke;

 

(e) drugi postupci obrade za koje je potrebno savjetovanje s nadležnim tijelom u skladu s točkom (b) članka 34. stavka 2.

 

3. Procjena treba sadržavati barem općenit opis predviđenih postupaka obrade, procjenu rizika za prava i slobode osoba čiji se podaci obrađuju, predviđene mjere za rizike, jamstva, sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka i usklađenost s ovom Uredbom, uzimajući u obzir prava i legitimne interese osoba čiji se podaci obrađuju i drugih uključenih osoba.

3. U procjeni se uzima u obzir upravljanje cijelim životnim ciklusom osobnih podataka od njihova prikupljanja preko obrade do njihovog brisanja. Ona sadržava barem:

 

(a) sustavan opis predviđenih postupaka obrade, svrha obrade i po potrebi legitimnih interesa nadzornika;

 

(b) procjenu neophodnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

 

(c) procjenu rizika za prava i slobode osoba čiji se podaci obrađuju, uključujući rizik da se diskriminaciju ugradi u postupak ili da je se njime potiče;

 

(d) opis mjera predviđenih radi rješavanja rizika i smanjivanja opsega osobnih podataka koji se obrađuju;

 

(e) popis mjera zaštite, sigurnosnih mjera i mehanizama za osiguravanje zaštite osobnih podataka, npr. pseudonimizacijom, te za dokazivanje usklađenosti s tom Uredbom uzimajući u obzir prava i legitimne interese osoba čiji se podaci obrađuju i drugih predmetnih osoba;

 

(f) opću naznaku vremenskog roka za brisanje različitih kategorija podataka;

 

(h) objašnjenje toga koje su prakse integrirane strategije zaštite podataka i tehničke zaštite podataka u skladu s člankom 23. provedene;

 

(i) popis primatelja ili kategorije primatelja osobnih podataka;

 

(j) ako je potrebno, popis predviđenih prijenosa podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz točke (h) članka 44. stavka 1., dokumentaciju o odgovarajućoj zaštiti;

 

(k) procjenu konteksta obrade podataka.

 

3a. Ako je nadzornik ili obrađivač odredio službenika za zaštitu podataka, on ili ona uključen/uključena je u postupak procjene učinka.

 

3b. Procjenu se dokumentira i njome se utvrđuje raspored redovnih periodičnih provjera sukladnosti sa zaštitom podataka u skladu s člankom 33.a stavkom 1. Procjena se bez odgode ažurira ako rezultati provjere sukladnosti sa zaštitom podataka iz članka 33.a pokazuju nedosljednosti. Nadzornik i obrađivač te, ako postoji, predstavnik nadzornika ustupaju na zahtjev dokumentaciju nadzornom tijelu.

4. Nadzornik od osoba čiji se podaci obrađuju ili njihovih predstavnika treba zatražiti mišljenje o planiranoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

 

5. Ako je nadzornik javna ustanova ili tijelo i ako obrada proizlazi iz pravne obveze u skladu s točkom (c) članka 6. stavka 1. kojom su predviđena pravila i postupci vezani uz postupke obrade te koji su određeni zakonodavstvom Unije, ne primjenjuju se stavci 1. do 4. osim ako države članice ne smatraju to nužnim radi provođenja procjene prije postupaka obrade.

 

6. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za postupke obrade koji vjerojatno predstavljaju određeni rizik iz stavka 1. ili 2. i preduvjete za procjenu iz stavka 3., uključujući uvjete za skalabilnost, provjeru i reviziju. U skladu s tim Komisija će razmatra posebne mjere za mikro, mala i srednja poduzeća.

 

7. Komisija može odrediti standarde i postupke za provođenje, provjeru i reviziju procjena iz stavka 3. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

(Paragraph 3 in the Commission text has partly become points (a), (c), (d) and (e) in Parliament's amendment).

Amandman  130

Prijedlog Uredbe

Članak 33.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 33.a

 

Provjera sukladnosti sa zaštitom podataka

 

1. Najkasnije dvije godine nakon provođenja procjene učinka u skladu s člankom 33. stavkom 1. nadzornik ili obrađivač koji djeluje u ime nadzornika provodi provjeru sukladnosti. Ovom provjerom sukladnosti pokazuje se da se obrada osobnih podataka provodi u skladu s procjenom učinka zaštite podataka.

 

2. Provjera sukladnosti provodi se periodično najmanje jednom u svake dvije godine ili odmah kada nastupi promjena određenih rizika postupaka obrade.

 

3. Kada rezultati provjere sukladnosti pokazuju nedosljednosti sukladnosti, provjera sukladnosti uključuje preporuke o tome kako ostvariti potpunu sukladnost.

 

4. Provjeru sukladnosti i njezine preporuke bilježi se. Nadzornik i obrađivač te, ako postoji, predstavnik nadzornika ustupaju na zahtjev dokumentaciju nadzornom tijelu.

 

5. Ako je nadzornik ili obrađivač odredio službenika za zaštitu podataka, on ili ona uključen/uključena je u postupak provjere sukladnosti.

Amandman  131

Prijedlog Uredbe

Članak 34.

Tekst koji je predložila Komisija

Izmjena

Prethodno odobrenje i prethodno savjetovanje

Prethodno savjetovanje

1. Nadzornik ili, u određenom slučaju, obrađivač od nadzornog tijela prije obrade osobnih podataka treba dobiti odobrenje kako bi se osiguralo usklađivanje planirane obrade s ovom Uredbom te posebno kako bi se ublažili rizici za osobe čiji se podaci obrađuju ako nadzornik ili obrađivač usvoji stavke ugovora iz točke (d) članka 42. stavka 2. ili ne osigura odgovarajuće mjere zaštite u pravno obvezujućem instrumentu iz članka 42. stavka 5. za prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju.

 

2. Nadzornik ili obrađivač koji djeluje u ime nadzornika trebaju se savjetovati s nadzornim tijelom prije obrade osobnih podataka kako bi se osiguralo usklađivanje planirane obrade s ovom Uredbom te posebno kako bi se ublažili rizici za osobe čiji se podaci obrađuju ako:

2. Nadzornik ili obrađivač koji djeluje u ime nadzornika savjetuju se sa službenikom za zaštitu podataka, ili u slučaju da službenik za zaštitu podataka nije određen, s nadzornim tijelom prije obrade osobnih podataka kako bi se osiguralo usklađivanje planirane obrade s ovom Uredbom te posebno kako bi se ublažili rizici za osobe čiji se podaci obrađuju ako:

(a) procjena učinka zaštite podataka u skladu s člankom 33. upućuje na to da postupci obrade zbog svoje prirode, opsega ili svrhe vjerojatno predstavljaju visoku razinu specifičnih rizika; ili

(a) procjena učinka zaštite podataka u skladu s člankom 33. upućuje na to da postupci obrade zbog svoje prirode, opsega ili svrhe vjerojatno predstavljaju visoku razinu specifičnih rizika; ili

(b) nadzorno tijelo smatra da je nužno provesti prethodno savjetovanje o postupcima obrade koji bi vjerojatno mogli predstavljati specifičan rizik za prava i slobode osoba čiji se podaci obrađuju zbog svoje prirode, opsega i/ili svoje svrhe određene u skladu sa stavkom 4.

(b) službenik za zaštitu podataka ili nadzorno tijelo smatra da je nužno provesti prethodno savjetovanje o postupcima obrade koji bi vjerojatno mogli predstavljati specifičan rizik za prava i slobode osoba čiji se podaci obrađuju zbog svoje prirode, opsega i/ili svoje svrhe određene u skladu sa stavkom 4.

3. Ako nadzorno tijelo smatra da predviđena obrada nije u skladu s ovom Uredbom, posebno ako su rizici nedovoljno utvrđeni ili umanjeni, ono zabranjuje predviđenu obradu i predlaže odgovarajući pravni lijek za uklanjanje te neusklađenosti.

3. Ako nadležno nadzorno tijelo u skladu sa svojim ovlastima utvrdi da predviđena obrada nije u skladu s ovom Uredbom, posebno ako su rizici nedovoljno utvrđeni ili umanjeni, ono zabranjuje predviđenu obradu i predlaže odgovarajući pravni lijek za uklanjanje te neusklađenosti.

4. Nadzorno tijelo sastavlja i objavljuje popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu s točkom (b) stavka 2. Nadzorno tijelo prosljeđuje te popise Europskom odboru za zaštitu podataka.

4. Europski odbor za zaštitu podataka sastavlja i objavljuje popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 2.

5. Ako popis iz stavka 4. obuhvaća postupke obrade u vezi s ponudom roba ili usluga osobama čiji se podaci obrađuju u više država članica, ili u vezi s praćenjem njihovog ponašanja, ili mogu znatno utjecati na slobodu prijenosa osobnih podataka u Uniji, nadzorno tijelo treba primijeniti mehanizam za usklađivanje iz članka 57. prije usvajanja popisa.

 

6. Nadzornik ili obrađivač nadzornom tijelu dostavljaju procjenu učinka zaštite podataka predviđenu člankom 33. i, na zahtjev, pružaju sve informacije pomoću kojih će nadzorno tijelo moći procijeniti usklađenost obrade te posebno rizike za zaštitu osobnih podataka osoba čiji se podaci obrađuju i povezane mjere zaštite.

6. Nadzornik ili obrađivač nadzornom tijelu na zahtjev dostavljaju procjenu učinka zaštite podataka u skladu s člankom 33. i, na zahtjev, pružaju sve informacije pomoću kojih će nadzorno tijelo moći procijeniti usklađenost obrade te posebno rizike za zaštitu osobnih podataka osoba čiji se podaci obrađuju i povezane mjere zaštite.

7. Države članice trebaju se savjetovati s nadzornim tijelom pri pripremi zakonodavne mjere koja će se usvojiti u nacionalnom parlamentu ili mjere koja se temelji na toj zakonodavnoj mjeri, a koja određuje prirodu obrade, kako bi se osigurala usklađenost predviđene obrade s ovom Uredbom te posebno kako bi se umanjili rizici za osobe čiji se podaci obrađuju.

7. Države članice savjetuju se s nadzornim tijelom pri pripremi zakonodavne mjere koja će se usvojiti u nacionalnom parlamentu ili mjere koja se temelji na toj zakonodavnoj mjeri, a koja određuje prirodu obrade, kako bi se osigurala usklađenost predviđene obrade s ovom Uredbom te posebno kako bi se umanjili rizici za osobe čiji se podaci obrađuju.

8. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za određivanje visoke razine pojedinog rizika iz točke (a) stavka 2.

 

9. Komisija može odrediti standardne obrasce i postupke za prethodno odobrenje i savjetovanje iz stavaka 1. i 2., te standardne obrasce i postupke za obavještavanje nadzornih tijela u skladu sa stavkom 6. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

Amandman               132

Prijedlog Uredbe

Članak 35.

Tekst koji je predložila Komisija

Izmjena

Imenovanje službenika za zaštitu podataka

Imenovanje službenika za zaštitu podataka

1. Nadzornik i obrađivač trebaju imenovati službenika za zaštitu podataka u svakom slučaju kada:

1. Nadzornik i obrađivač imenuju službenika za zaštitu podataka u svakom slučaju kada:

(a) obradu provodi javna ustanova ili tijelo; ili

(a) obradu provodi javna ustanova ili tijelo; ili

(b) obradu provodi poduzeće s 250 zaposlenika ili više; ili

(b) obradu provodi pravna osoba i kada se ona odnosi na više od 5000 osoba čiji se podaci obrađuju u bilo kojem uzastopnom razdoblju od 12 mjeseci; ili

(c) se osnovne djelatnosti nadzornika ili obrađivača sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrhe iziskuju redovit i sustavan nadzor osoba čiji se podaci obrađuju.

(c) se osnovne djelatnosti nadzornika ili obrađivača sastoje od postupaka obrade koji zbog svoje prirode, opsega i/ili svrhe iziskuju redovit i sustavan nadzor osoba čiji se podaci obrađuju; ili

 

(d) se osnovne djelatnosti nadzornika ili obrađivača sastoje od obrade posebnih kategorija podataka iz članka 9. stavka 1., podataka o lokaciji ili djeci ili o zaposlenicima u opsežnim sustavima podataka.

2. U slučaju iz točke (b) stavka 1. skupina poduzeća može imenovati zajedničkog službenika za zaštitu podataka.

2. Skupina poduzeća može imenovati glavnog odgovornog službenika za zaštitu pdoataka pod uvjetom da je iz svake ustanove osigurana laka dostupnost službenika za zaštitu podataka.

3. Ako je nadzornik ili obrađivač javna ustanova ili tijelo, službenik za zaštitu podataka može biti imenovan za više njegovih sektora, uzimajući u obzir organizacijsku strukturu javne ustanove ili tijela.

3. Ako je nadzornik ili obrađivač javna ustanova ili tijelo, službenik za zaštitu podataka može biti imenovan za više njegovih sektora, uzimajući u obzir organizacijsku strukturu javne ustanove ili tijela.

4. U slučaju osim onih iz stavka 1., nadzornik ili obrađivač ili udruge ili druga tijela koja predstavljaju kategoriju nadzornika ili obrađivača mogu imenovati službenika za zaštitu podataka.

4. U slučaju osim onih iz stavka 1., nadzornik ili obrađivač ili udruge ili druga tijela koja predstavljaju kategoriju nadzornika ili obrađivača mogu imenovati službenika za zaštitu podataka.

5. Nadzornik ili obrađivač treba imenovati službenika za zaštitu podataka na temelju stručnih kvalifikacija i, pogotovo, stručnog poznavanja prava i praksi na području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 37. Potrebna razina stručnog znanja utvrdit će se u odnosu na obradu podataka koja se provodi te na zaštitu koju za obrađene osobne podatke zahtijeva nadzornik ili obrađivač.

5. Nadzornik ili obrađivač imenuje službenika za zaštitu podataka na temelju stručnih kvalifikacija i, pogotovo, stručnog poznavanja prava i praksi na području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 37. Potrebna razina stručnog znanja utvrđuje se u odnosu na obradu podataka koja se provodi te na zaštitu koju za obrađene osobne podatke zahtijeva nadzornik ili obrađivač.

6. Nadzornik ili obrađivač treba osigurati da su bilo koje druge profesionalne dužnosti službenika za zaštitu podataka u skladu sa zadaćama i dužnostima te osobe kao službenika za zaštitu podataka te da ne izazovu sukob interesa.

6. Nadzornik ili obrađivač osigurava da su bilo koje druge profesionalne dužnosti službenika za zaštitu podataka u skladu sa zadaćama i dužnostima te osobe kao službenika za zaštitu podataka te da ne izazovu sukob interesa.

7. Nadzornik ili obrađivač imenuje službenika za zaštitu podataka za razdoblje od barem dvije godine. Službenik za zaštitu podataka može se ponovno imenovati u daljnjim mandatima. Tijekom njegovog mandata, službenika za zaštitu podataka može se otpustiti samo ako službenik za zaštitu podataka više ne ispunjava uvjete potrebne za obavljanje svoje dužnosti.

7. Nadzornik ili obrađivač imenuje službenika za zaštitu podataka za razdoblje od najmanje četiri godine ako je u pitanju zaposlenik ili dvije godine ako je u pitanju vanjski suradnik. Službenik za zaštitu podataka može se ponovno imenovati u daljnjim mandatima. Tijekom njegova ili njezina mandata, službenika za zaštitu podataka može se otpustiti samo ako on ili ona više ne ispunjava uvjete potrebne za obavljanje svoje dužnosti.

8. Službenika za zaštitu podataka može zaposliti nadzornik ili obrađivač ili, on ili ona može obavljati svoju dužnost na temelju ugovora o pružanju usluga.

8. Službenika za zaštitu podataka može zaposliti nadzornik ili obrađivač ili, on ili ona može obavljati svoju dužnost na temelju ugovora o pružanju usluga.

9. Nadzornik ili obrađivač trebaju dostaviti ime i kontaktne podatke službenika za zaštitu podataka nadzornom tijelu i javnosti.

9. Nadzornik ili obrađivač dostavlja ime i kontaktne podatke službenika za zaštitu podataka nadzornom tijelu i javnosti.

10. Osobe čiji se podaci obrađuju imaju pravo obratiti se službeniku za zaštitu podataka u vezi svih pitanja o obradi osobnih podataka vezanih uz osobu čiji se podaci obrađuju te zatražiti ostvarivanje prava u skladu s ovom Uredbom.

10. Osobe čiji se podaci obrađuju imaju pravo obratiti se službeniku za zaštitu podataka u vezi svih pitanja o obradi osobnih podataka vezanih uz osobu čiji se podaci obrađuju te zatražiti ostvarivanje prava u skladu s ovom Uredbom.

11. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za osnove djelatnosti nadzornika ili obrađivača iz točke (c) stavka 1. i kriterija za profesionalne kvalifikacije službenika za zaštitu podataka iz stavka 5.

 

Amandman  133

Prijedlog Uredbe

Članak 36.

Tekst koji je predložila Komisija

Izmjena

Položaj službenika za zaštitu podataka

Položaj službenika za zaštitu podataka

1. Nadzornik ili obrađivač trebaju osigurati da se službenik za zaštitu podataka primjereno i pravovremeno uključi u sva pitanja povezana sa zaštitom podataka.

1. Nadzornik ili obrađivač osiguravaju da se službenik za zaštitu podataka primjereno i pravovremeno uključi u sva pitanja povezana sa zaštitom podataka.

2. Nadzornik ili obrađivač trebaju osigurati da službenik za zaštitu podataka obavlja dužnosti i zadatke neovisno te da ne dobiva upute o načinu na koji treba vršiti svoju dužnost. Službenik za zaštitu podataka treba izravno izvještavati upravu nadzornika ili obrađivača.

2. Nadzornik ili obrađivač osiguravaju da službenik za zaštitu podataka obavlja dužnosti i zadatke neovisno te da ne dobiva upute o načinu na koji treba vršiti svoju dužnost. Službenik za zaštitu podataka izravno izvještava izvršnu upravu nadzornika ili obrađivača. Nadzornik ili obrađivač u tu svrhu određuju člana izvršne uprave koji je odgovoran za usklađenost s odredbama ove Uredbe.

3. Nadzornik ili obrađivač trebaju podržati službenika za zaštitu podataka pri obavljanju zadataka te mu trebaju osigurati osoblje, prostor, opremu i druga sredstva potrebna za obavljanje dužnosti i zadataka iz članka 37.

3. Nadzornik ili obrađivač podržavaju službenika za zaštitu podataka pri obavljanju zadataka te mu osiguravaju sva sredstva, uključujući osoblje, prostor, opremu i druga sredstva potrebna za obavljanje dužnosti i zadataka iz članka 37. i potrebna za održavanje njegovog ili njezinog stručnog znanja.

 

4. Službenici za zaštitu podataka obvezani su tajnošću u vezi s identitetom osoba čiji se podaci obrađuju i okolnostima koje omogućuju identifikaciju osoba čiji se podaci obrađuju osim ako ih od te obveze oslobodi osoba čiji se podaci obrađuju.

Amandman  134

Prijedlog Uredbe

Članak 37.

Tekst koji je predložila Komisija

Izmjena

Zadaće službenika za zaštitu podataka

Zadaće službenika za zaštitu podataka

1. Nadzornik i obrađivač trebaju službeniku za zaštitu podataka povjeriti barem jednu od sljedećih zadaća:

Nadzornik i obrađivač povjeravaju službeniku za zaštitu podataka barem jednu od sljedećih zadaća:

(a) obavještavanje i savjetovanje nadzornika ili obrađivača o njihovim obvezama u skladu s ovom Uredbom te dokumentiranje te aktivnosti i primljenih odgovora;

(a) podizanje svijesti, obavještavanje i savjetovanje nadzornika ili obrađivača o njihovim obvezama u skladu s ovom Uredbom, osobito u skladu s tehničkim i organizacijskim mjerama i postupcima, te dokumentiranje te aktivnosti i primljenih odgovora;

(b) nadziranje provedbe i primjene politika nadzornika ili obrađivača u vezi sa zaštitom osobnih podataka, uključujući određivanje odgovornosti, izobrazbu osoblja uključenog u postupke obrade i povezane revizije;

(b) nadziranje provedbe i primjene politika nadzornika ili obrađivača u vezi sa zaštitom osobnih podataka, uključujući određivanje odgovornosti, izobrazbu osoblja uključenog u postupke obrade i povezane revizije;

(c) nadziranje provedbe i primjene ove Uredbe, posebno u vezi sa zahtjevima za integriranu strategiju zaštite podataka, tehničku zaštitu podataka i sigurnost podataka te u vezi s informiranjem osoba čiji se podaci obrađuju i njihovim zahtjevima za ostvarivanjem vlastitih prava u skladu s ovom Uredbom;

(c) nadziranje provedbe i primjene ove Uredbe, posebno u vezi sa zahtjevima za integriranu strategiju zaštite podataka, tehničku zaštitu podataka i sigurnost podataka te u vezi s informiranjem osoba čiji se podaci obrađuju i njihovim zahtjevima za ostvarivanjem vlastitih prava u skladu s ovom Uredbom;

(d) osiguranje vođenja dokumentacije kako je navedeno u članku 28.;

(d) osiguranje vođenja dokumentacije kako je navedeno u članku 28.;

(e) nadziranje dokumentiranja, obavještavanja i posredovanja slučajeva povrede osobnih podataka u skladu s člancima 31. i 32.;

(e) nadziranje dokumentiranja, obavještavanja i posredovanja slučajeva povrede osobnih podataka u skladu s člancima 31. i 32.;

(f) nadziranje provođenja procjene učinka zaštite podataka od strane nadzornika ili obrađivača te zahtjevanje prethodnog odobrenja ili prethodnog savjetovanja, ako je potrebno, u skladu s člancima 33. i 34.;

(f) nadziranje provođenja procjene učinka zaštite podataka od strane nadzornika ili obrađivača te zahtijevanje prethodnog savjetovanja, ako je potrebno, u skladu s člancima 32.a, 33. i 34.;

(g) nadziranje odgovaranja na zahtjeve nadzornog tijela te, u okviru nadležnosti službenika za zaštitu podataka, suradnja s nadzornim tijelom na njegov zahtjev ili na vlastitu inicijativu službenika za zaštitu podataka;

(g) nadziranje odgovaranja na zahtjeve nadzornog tijela te, u okviru nadležnosti službenika za zaštitu podataka, suradnja s nadzornim tijelom na njegov zahtjev ili na vlastitu inicijativu službenika za zaštitu podataka;

(h) djelovanje kao kontaktna točka za nadzorno tijelo za pitanja u vezi s obradom te, ako je potrebno, savjetovanje s nadzornim tijelom na vlastitu inicijativu.

(h) djelovanje kao kontaktna točka za nadzorno tijelo za pitanja u vezi s obradom te, ako je potrebno, savjetovanje s nadzornim tijelom na vlastitu inicijativu.

 

(i) provjeravanje usklađenosti s ovom Uredbom u skladu s mehanizom prethodnog savjetovanja utvrđenim člankom 34.;

 

(j) obavještavanje predstavnika zaposlenika o obradi podataka zaposlenika.

2. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za zadaće, certificiranje, ovlasti i sredstva službenika za zaštitu podataka iz stavka 1.

 

Amandman  135

Prijedlog Uredbe

Članak 38.

Tekst koji je predložila Komisija

Izmjena

Kodeks ponašanja

Kodeks ponašanja

1. Države članice, nadzorna tijela i Komisija trebaju podržati sastavljanje kodeksa ponašanja kako bi se doprinijelo ispravnoj primjeni ove Uredbe, uzimajući u obzir posebne osobine različitih područja na kojima se provodi obrada, posebno u odnosu na:

1. Države članice, nadzorna tijela i Komisija podržavaju sastavljanje kodeksa ponašanja ili usvajanje kodeksa ponašanja koja je sastavilo nadzorno tijelo kako bi se doprinijelo ispravnoj primjeni ove Uredbe, uzimajući u obzir posebne osobine različitih područja na kojima se provodi obrada, posebno u odnosu na:

(a) poštenu i transparentnu obradu podataka;

(a) poštenu i transparentnu obradu podataka;

 

(aa) poštovanje prava potrošača;

(b) prikupljanje podataka;

(b) prikupljanje podataka;

(c) obavještavanje javnosti i osoba čiji se podaci obrađuju;

(c) obavještavanje javnosti i osoba čiji se podaci obrađuju;

(d) zahtjeve osoba čiji se podaci obrađuju za ostvarenjem svojih prava;

(d) zahtjeve osoba čiji se podaci obrađuju za ostvarenjem svojih prava;

(e) obavještavanje i zaštitu djece;

(e) obavještavanje i zaštitu djece;

(f) prijenos podataka u treće zemlje ili međunarodne organizacije;

(f) prijenos podataka u treće zemlje ili međunarodne organizacije;

(g) mehanizme za nadzor i osiguranje pridržavanja pravila od strane nadzornika koji im podliježu;

(g) mehanizme za nadzor i osiguranje pridržavanja pravila od strane nadzornika koji im podliježu;

(h) izvansudske postupke i druge postupke za rješavanje sporova između nadzornika i osoba čiji se podaci obrađuju u odnosu na obradu osobnih podataka, ne dovodeći u pitanje prava osoba čiji se podaci obrađuju u skladu s člancima 73. i 75.

(h) izvansudske postupke i druge postupke za rješavanje sporova između nadzornika i osoba čiji se podaci obrađuju u odnosu na obradu osobnih podataka, ne dovodeći u pitanje prava osoba čiji se podaci obrađuju u skladu s člancima 73. i 75.

2. Udruge i druga tijela koja predstavljaju kategorije nadzornika ili obrađivača u državi članici, a koja namjeravaju sastaviti kodeks ponašanja ili izmijeniti ili proširiti postojeće kodekse ponašanja mogu ih predati nadzornom tijelu u toj državi članici kako bi ono iznijelo svoje mišljenje. Nadzorno tijelo može izraziti mišljenje o tome jesu li nacrt kodeksa ponašanja ili izmjene u skladu s ovom Uredbom. Nadzorno tijelo treba zatražiti mišljenje osoba čiji se podaci obrađuju ili njihovih predstavnika o tim nacrtima.

2. Udruge i druga tijela koja predstavljaju kategorije nadzornika ili obrađivača u državi članici, a koja namjeravaju sastaviti kodeks ponašanja ili izmijeniti ili proširiti postojeće kodekse ponašanja mogu ih predati nadzornom tijelu u toj državi članici kako bi ono iznijelo svoje mišljenje. Nadzorno tijelo bez nepotreobne odgode izražava mišljenje o tome je li obrada u skladu s nacrtom kodeksa ponašanja ili izmjenom u skladu s ovom Uredbom. Nadzorno tijelo traži mišljenje osoba čiji se podaci obrađuju ili njihovih predstavnika o tim nacrtima.

3. Udruge i druga tijela koja predstavljaju kategoriju nadzornika u više država članica mogu predati nacrte kodeksa ponašanja i izmjene ili proširenja postojećih kodeksa ponašanja Komisiji.

3. Udruženja i druga tijela koja predstavljaju kategoriju nadzornika ili obrađivača u više država članica mogu predati nacrte kodeksa ponašanja i izmjene ili proširenja postojećih kodeksa ponašanja Komisiji.

4. Komisija može donijeti provedbene akte kojima odlučuje da kodeksi ponašanja i izmjene ili proširenja postojećih kodeksa ponašanja, koja je primila u skladu s člankom 3., imaju opću valjanost u Uniji. Ti provedbeni akti usvajaju se u skladu s postupkom provjere iz članka 87. stavka 2.

4. Komisija, nakon traženja mišljanja Europskog odbora za zaštitu podataka, ima ovlast donositi delegirane akte u skladu s člankom 86. kojima odlučuje da su kodeksi ponašanja i izmjene ili proširenja postojećih kodeksa ponašanja, koja je primila u skladu s člankom 3. u skladu s ovom Uredbom i da imaju opću valjanost u Uniji. Tim delegiranim aktima prenose se ostvariva prava na osobe čiji se podaci obrađuju.

5. Komisija treba osigurati odgovarajuću objavu kodeksa ponašanja za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 4.

5. Komisija osigurava odgovarajuću objavu kodeksa ponašanja za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 4.

Amandman  136

Prijedlog Uredbe

Članak 39.

Tekst koji je predložila Komisija

Izmjena

Certificiranje

Certificiranje

1. Države članice i Komisija trebaju podupirati, posebno na razini Europe, uspostavljanje mehanizama certificiranja za zaštitu podataka te pečate i oznake za zaštitu podataka, čim će se osobama čiji se podaci obrađuju omogućiti da brzo procijene razinu zaštite podataka koju pružaju nadzornici i obrađivači. Mehanizmi certificiranja za zaštitu podataka trebaju pridonijeti ispravnoj primjeni ove Uredbe, uzimajući u obzir pojedinačne osobine različitih sektora i različitih postupaka obrade.

 

 

1a. Svaki nadzornik ili obrađivač može tražiti svako nadzorno tijelo u Uniji razumnu pristojbu uzimajući u obzir administrativne troškove, kako bi potvrdio da se obrada osobnih podataka provodi u skladu s ovom Uredbom, osobito s načelima iz članka 5., 23. i 30., obvezama nadzornika i obrađivača i pravima osobe čiji se podaci obrađuju.

 

1b. Certificiranje je dobrovoljno, pristupačno i dostupno putem procesa koji je transparentan i nije neopravdano opterećujući.

 

1c. Nadzorna tijela i Europski odbor za zaštitu podataka surađuju u skladu s mehanizmom za usklađivanje iz članka 57. radi zajamčivanja usklađenosti mehanizama certificiranja za zaštitu podataka uključujući usklađene pristojbe unutar Unije.

 

1d. Tijekom postupka certificiranja nadzorno tijelo može ovlastiti specijalizirana revizorska tijela kao treće strane za provođenje revizije nadzornika ili obrađivača u njihovo ime. Revizorska tijela kao treća strana imaju dovoljno kvalificiranog osoblja, nepristrana su i slobodna od bilo kakvog sukoba interesa u vezi s njihovim dužnostima. Nadzorna tijela povlače ovlaštenje ako postoje razlozi vjerovati da revizor ne ispunjava svoje dužnosti na ispravan način. Konačno certificiranje osigurava nadzorno tijelo.

 

1e. Nadzorna tijela dodjeljuju nadzornicima i obrađivačima, koji su u skladu s revizijom ovlašteni za obradu osobnih podataka u skladu s ovom Uredbom, standardiziranu oznaku zaštite podataka pod nazivom „Europski pečat za zaštitu podataka”.

 

1f. „Europski pečat za zaštitu podataka” važi sve dok se postupcima obrade podataka certificiranog nadzornika ili obrađivača u potpunosti poštuje ova Uredba.

 

1g. Neovisno o stavku 1.f, certificiranje važi najviše pet godina.

 

1h. Europski odbor za zaštitu podataka uvodi javnu elektroničku evidenciju u kojoj javnost može vidjeti sve važeće i nevažeće certifikate koji su izdani u državama članicama.

 

1i. Europski odbor za zaštitu podataka može na vlastitu inicijativu provjeriti da je tehnički standard koji poboljšava zaštitu podataka u skladu s ovom Uredbom.

2. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za mehanizme certificiranja za zaštitu podataka iz stavka 1., uključujući uvjete za odobravanje i povlačenje te preduvjete za priznanje u Uniji i u trećim zemljama.

2. Komisija je, nakon traženja mišljenja Europskog odbora za zaštitu podataka i savjetovanja s dionicima, osobito industrijom i nevladinim organizacijama, ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za mehanizme certificiranja za zaštitu podataka iz stavka 1.a do 1.h, uključujući preduvjete za ovlaštenje revizorskih tijela, uvjete za odobravanje i povlačenje te preduvjete za priznanje u Uniji i u trećim zemljama. Tim delegiranim aktima prenose se ostvariva prava na osobe čiji se podaci obrađuju.

3. Komisija može odrediti tehničke standarde za mehanizme certificiranja te pečate i oznake za zaštitu podataka kako bi se promicali i prepoznali mehanizmi certificiranja te pečati i oznake za zaštitu podataka. Ti provedbeni akti usvajaju se u skladu s postupkom provjere iz članka 87. stavka 2.

 

Amandman  137

Prijedlog Uredbe

Članak 41.

Tekst koji je predložila Komisija

Izmjena

Prijenosi na temelju odluke o odgovarajućoj razini zaštite

Prijenosi na temelju odluke o odgovarajućoj razini zaštite

1. Prijenos se može provesti ako je Komisija donijela odluku da dotična treća zemlja ili teritorij ili područje na kojem se vrši obrada u trećoj zemlji ili određena međunarodna organizacija osiguravaju odgovarajuću razinu zaštite podataka. Za takav prijenos nije potrebno dodatno odobrenje.

1. Prijenos se može provesti ako je Komisija donijela odluku da dotična treća zemlja ili teritorij ili područje na kojem se vrši obrada u trećoj zemlji ili određena međunarodna organizacija osiguravaju odgovarajuću razinu zaštite podataka. Za takav prijenos nije potrebno posebno odobrenje.

2. Pri ocjenjivanju odgovarajuće razine zaštite Komisija poštuje sljedeće elemente:

2. Pri ocjenjivanju odgovarajuće razine zaštite Komisija poštuje sljedeće elemente:

(a) vladavinu prava, relevantno važeće zakonodavstvo, kako opće tako i sektorsko, uključujući javnu sigurnost, obranu, nacionalnu sigurnost i kazneno pravo, profesionalna pravila i sigurnosne mjere koje se poštuju u toj državi ili međunarodnoj organizaciji, kao i učinkovita i ostvariva prava uključujući učinkovitu upravnu i sudsku zaštitu za osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose;

(a) vladavinu prava, relevantno važeće zakonodavstvo, kako opće tako i sektorsko, uključujući javnu sigurnost, obranu, nacionalnu sigurnost i kazneno pravo, kao i provedbu ovog zakonodavstva, profesionalna pravila i sigurnosne mjere koje se poštuju u toj državi ili međunarodnoj organizaciji, sudski presedani kao i učinkovita i ostvariva prava uključujući učinkovitu upravnu i sudsku zaštitu za osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose;

(b) postojanje i učinkovito djelovanje jednoga neovisnog nadzornog tijela ili više njih u dotičnoj trećoj zemlji ili međunarodnoj organizaciji koja su nadležna za osiguravanje sukladnosti s pravilima o zaštiti podataka, za pomoć osobama čiji se podaci obrađuju i njihovo savjetovanje u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima Unije i država članica; i

(b) postojanje i učinkovito djelovanje jednoga neovisnog nadzornog tijela ili više njih u dotičnoj trećoj zemlji ili međunarodnoj organizaciji koja su nadležna za osiguravanje sukladnosti s pravilima o zaštiti podataka, uključujući dovoljne uvlasti za sankcioniranje, za pomoć osobama čiji se podaci obrađuju i njihovo savjetovanje u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima Unije i država članica; i

(c) međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela.

(c) međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, posebice sve pravno obvezujuće konvencije ili instrumenti u vezi sa zaštitom osobnih podataka.

3. Komisija može donijeti odluku da treća zemlja, teritorij, područje na kojem se vrši obrada podataka u dotičnoj trećoj zemlji ili međunarodna organizacija osiguravaju odgovarajuću razinu zaštite u smislu stavka 2. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. radi donošenja odluke o tome da treća zemlja, teritorij, područje na kojem se vrši obrada podataka u dotičnoj trećoj zemlji ili međunarodna organizacija osiguravaju odgovarajuću razinu zaštite u smislu stavka 2. Tim delegiranim aktima predviđa se klauzula o vremenskom ograničenju valjanosti ako se oni odnose na područje na kojem se vrši obrada te ih se opoziva u skladu sa stavkom 5. čim više nije osigurana odgovarajuća razina zaštite u skladu s ovom Uredbom.

 

4. U provedbenom aktu precizira se njegova zemljopisna i sektorska primjena i, po potrebi, utvrđuje nadzorno tijelo iz točke (b) stavka 2.

4. U delegiranom aktu precizira se njegova zemljopisna i sektorska primjena i, po potrebi, utvrđuje nadzorno tijelo iz točke (b) stavka 2.

 

4a. Komisija na trajnoj osnovi prati tijek razvoja u trećim zemljama i međunarodnim organizacijama koji bi mogao utjecati na elemente popisane u stavku 2. kada je u skladu sa stavkom 3.donesen delegirani akt.

5. Komisija može donijeti odluku da treća zemlja ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili međunarodna organizacija ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, naročito u slučajevima kad relevantno zakonodavstvo, kako opće tako i sektorsko, koje je na snazi u trećoj zemlji ili međunarodnoj organizaciji ne jamči djelotvorna i ostvariva prava uključujući djelotvorne administrativne i sudske pravne radnje za osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose. Navedeni provedbeni akti donose se u skladu s postupkom provjere iz članka 87. stavka 2. ili u iznimno hitnim situacijama za pojedince s obzirom na njihovo pravo na zaštitu osobnih podataka, u skladu s postupkom iz članka 87. stavka 3.

5. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. radi donošenja odluke o tome da treća zemlja ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili međunarodna organizacija ne osigurava ili više ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, naročito u slučajevima kad relevantno zakonodavstvo, kako opće tako i sektorsko, koje je na snazi u trećoj zemlji ili međunarodnoj organizaciji ne jamči djelotvorna i ostvariva prava uključujući djelotvorne administrativne i sudske pravne radnje za osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose.

6. Ako Komisija donese odluku u skladu sa stavkom 5., svaki prijenos osobnih podataka u treću zemlju ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili međunarodnu organizaciju zabranjen je, ne dovodeći u pitanje članke 42. do 44. U primjereno vrijeme Komisija započinje savjetovanja s trećom zemljom ili međunarodnom organizacijom koja se odnose na rješavanje situacije nastale zbog Odluke donesene u skladu sa stavkom 5. ovog članka.

6. Ako Komisija donese odluku u skladu sa stavkom 5., svaki prijenos osobnih podataka u treću zemlju ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili međunarodnu organizaciju zabranjen je, ne dovodeći u pitanje članke 42. do 44. U primjereno vrijeme Komisija započinje savjetovanja s trećom zemljom ili međunarodnom organizacijom koja se odnose na rješavanje situacije nastale zbog odluke u skladu sa stavkom 5. ovog članka.

 

6a. Prije donošenja delegiranog akta u skladu sa stavcima 3. i 5. Komisija traži Europski odbor za zaštitu podataka za mišljenje o prikladnosti razine zaštite. U tu svrhu Komisija dostavlja Europskom odboru za zaštitu podataka svu potrebnu dokumentaciju, također korespondenciju s vladom treće zemlje, teritorijem ili područjem na kojem se vrši obrada u toj trećoj zemlji ili međunarodnom organizacijom.

7. U Službenom listu Europske unije Komisija objavljuje popis trećih zemalja, teritorija, područja na kojima se vrši obrada u trećoj zemlji i međunarodnih organizacija u vezi s kojima je donijela odluku o tome osiguravaju li odgovarajuću razinu zaštite ili ne.

7. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, teritorija, područja na kojima se vrši obrada u trećoj zemlji i međunarodnih organizacija u vezi s kojima je donijela odluku o tome osiguravaju li odgovarajuću razinu zaštite ili ne.

8. Odluke koje je Komisija usvojila na temelju članka 25. stavka 6. ili članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok ih Komisija ne izmijeni, zamijeni ili stavi izvan snage.

8. Odluke koje je Komisija na temelju članka 25. stavka 6. ili članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi pet godina nakon stupanja na snagu ove Uredbe, osim ako ih Komisija ne izmijeni, zamijeni ili stavi izvan snage prije kraja navedenog roka.

Amandman  138

Prijedlog Uredbe

Članak 42.

Tekst koji je predložila Komisija

Izmjena

Prijenosi s odgovarajućim mjerama zaštite

Prijenosi s odgovarajućim mjerama zaštite

1. Ako Komisija nije donijela nikakvu odluku u skladu s člankom 41., nadzornik ili obrađivač može prenijeti osobne podatke u treću zemlju ili međunarodnu organizaciju samo ako je u vezi sa zaštitom osobnih podataka u pravno obvezujućem instrumentu osigurao odgovarajuće mjere zaštite.

1. Ako Komisija nije donijela nikakvu odluku u skladu s člankom 41. ili je odlučila da treća zemlja, teritorij ili područje na kojemu se provodi obrada u trećoj zemlji ili međunarodna organizacija ne osiguravaju dostatnu razinu zaštite u skladu s člankom 41. stavkom 5., nadzornik ili obrađivač ne može prenijeti osobne podatke u treću zemlju ili međunarodnu organizaciju osim ako je u vezi sa zaštitom osobnih podataka u pravno obvezujućem instrumentu osigurao odgovarajuće mjere zaštite.

2. Odgovarajuće mjere zaštite iz stavka 1. osiguravaju se posebice na sljedeći način:

2. Odgovarajuće mjere zaštite iz stavka 1. osiguravaju se posebice na sljedeći način:

(a) obvezujućim pravilima poduzeća u skladu s člankom 43.; ili

(a) obvezujućim pravilima poduzeća u skladu s člankom 43.; ili

 

(aa) za nadzornika i primatelja važećim europskim pečatom za zaštitu podataka u skladu s člankom 39. stavkom 1.; ili

(b) standardnim klauzulama Komisije o zaštiti podataka. Ti provedbeni akti usvajaju se u skladu s postupkom provjere iz članka 87. stavka 2. ili

 

(c) standardnim klauzulama o zaštiti podataka koje je usvojilo nadzorno tijelo u skladu s mehanizmom za usklađivanje iz članka 57. a koje Komisija u skladu s točkom (b) članka 62. stavka 1. proglasi općevažećima; ili

(c) standardnim klauzulama o zaštiti podataka koje je usvojilo nadzorno tijelo u skladu s mehanizmom za usklađivanje iz članka 57. a koje Komisija u skladu s točkom (b) članka 62. stavka 1. proglasi općevažećima; ili

(d) ugovornim klauzulama između nadzornika ili obrađivača i primatelja podataka koje je odobrilo nadzorno tijelo u skladu sa stavkom 4.

(d) ugovornim klauzulama između nadzornika ili obrađivača i primatelja podataka koje je odobrilo nadzorno tijelo u skladu sa stavkom 4.

3. Za prijenos koji se temelji na standardnim klauzulama o zaštiti podataka ili obvezujućim pravilima poduzeća iz točaka (a), (b) ili (c) stavka 2. nije potrebno dodatno odobrenje.

3. Za prijenos koji se temelji na standardnim klauzulama o zaštiti podataka, europskom pečatu za zaštitu podataka ili obvezujućim pravilima poduzeća iz točaka (a), (aa) ili (c) stavka 2. nije potrebno posebno odobrenje.

4. Kad se prijenos temelji na ugovornim klauzulama iz točke (d) stavka 2. ovog članka, nadzornik ili obrađivač od nadzornog tijela dobiva prethodno odobrenje ugovornih klauzula u skladu s točkom (a) članka 34. stavka 1. Ako je prijenos povezan s postupcima obrade koji se tiču osoba čiji se podaci obrađuju u drugoj državi članici ili drugim državama članicama ili ako znatno utječe na slobodno kretanje osobnih podataka unutar Unije, nadzorno tijelo primjenjuje mehanizam za usklađivanje iz članka 57.

4. Kad se prijenos temelji na ugovornim klauzulama iz točke (d) stavka 2. ovog članka, nadzornik ili obrađivač od nadzornog tijela dobiva prethodno odobrenje ugovornih klauzula. Ako je prijenos povezan s postupcima obrade koji se tiču osoba čiji se podaci obrađuju u drugoj državi članici ili drugim državama članicama ili ako znatno utječe na slobodno kretanje osobnih podataka unutar Unije, nadzorno tijelo primjenjuje mehanizam za usklađivanje iz članka 57.

5. Kad odgovarajuće mjere zaštite osobnih podataka nisu osigurane u pravno obvezujućem instrumentu, nadzornik ili obrađivač dobiva prethodno odobrenje za prijenos ili niz prijenosa ili za odredbe koje će biti uključene u upravne dogovore koji su temelj za takve prijenose. Takvo odobrenje koje daje nadzorno tijelo u skladu je s točkom (a) članka 34. stavka 1. Ako je prijenos povezan s postupcima obrade koji se tiču osoba čiji se podaci obrađuju u drugoj državi članici ili drugim državama članicama ili ako znatno utječe na slobodno kretanje osobnih podataka unutar Unije, nadzorno tijelo primjenjuje mehanizam za usklađivanje iz članka 57. Odobrenja koja daje nadzorno tijelo na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju na snazi dok ih to nadzorno tijelo ne izmijeni, zamijeni ili stavi izvan snage.

5. Odobrenja koja daje nadzorno tijelo na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju na snazi dvije godine nakon stupanja na snagu ove Uredbe, osim ako ih nadzorno tijelo ne izmijeni, zamijeni ili stavi izvan snage prije kraja navedenog roka;

Amandman    139

Prijedlog Uredbe

Članak 43.

Tekst koji je predložila Komisija

Izmjena

Prijenos s obvezujućim pravilima poduzeća

Prijenos s obvezujućim pravilima poduzeća

1. Nadzorno tijelo u skladu s mehanizmom za usklađivanje iz članka 58. odobrava obvezujuća pravila poduzeća:

1. Nadzorno tijelo u skladu s mehanizmom za usklađivanje iz članka 58. odobrava obvezujuća pravila poduzeća:

(a) ako su pravno obvezujuća, primjenjuju se na svakog člana grupe poduzetnika nadzornika ili obrađivača, provode ih svi članovi te grupe te uključuju i zaposlenike te grupe;

(a) ako su pravno obvezujuća, primjenjuju se na svakog člana grupe poduzetnika nadzornika ili obrađivača, provode ih svi članovi te grupe i vanjski podizvođači koji su obuhvaćeni obvezujućim pravilima poduzeća te uključuju i zaposlenike te grupe;

(b) ako izričito prenose ostvariva prava na osobe čiji se podaci obrađuju;

(b) ako izričito prenose ostvariva prava na osobe čiji se podaci obrađuju;

(c) ako ispunjavaju zahtjeve iz stavka 2.

(c) ako ispunjavaju zahtjeve iz stavka 2.

 

1a. S obzirom na podatke o zaposlenosti predstavnici zaposlenika obavještavaju se i, u skladu s pravom i praksom Unije ili država članica, uključuju u sastavljanje obvezujućih pravila poduzeća u skladu s člankom 43.

2. Obvezujuća pravila poduzeća određuju najmanje sljedeće:

2. Obvezujuća pravila poduzeća određuju najmanje sljedeće:

(a) strukturu i kontaktne podatke grupe poduzetnika i njezinih članova;

(a) strukturu i kontaktne podatke grupe poduzetnika i njezinih članova te vanjskih podizvođača koji su obuhvaćeni obvezujućim pravilima poduzeća;

(b) prijenose podataka ili nizove prijenosa, uključujući kategorije osobnih podataka, vrstu obrade i njezine namjene, vrstu osoba čiji se podaci obrađuju i na koje ta pravila utječu te identifikaciju treće zemlje ili trećih zemalja o kojima je riječ;

(b) prijenose podataka ili nizove prijenosa, uključujući kategorije osobnih podataka, vrstu obrade i njezine namjene, vrstu osoba čiji se podaci obrađuju i na koje ta pravila utječu te identifikaciju treće zemlje ili trećih zemalja o kojima je riječ;

(c) njihovu pravno obvezujuću prirodu, kako interno tako i eksterno;

(c) njihovu pravno obvezujuću prirodu, kako interno tako i eksterno;

(d) opća načela zaštite podataka, naročito ograničenje namjene, kvalitetu podataka, pravnu osnovu za obradu, obradu osjetljivih osobnih podataka; mjere za osiguranje sigurnosti podataka i zahtjeve za daljnje prijenose organizacijama za koje politike nisu obvezujuće;

(d) opća načela zaštite podataka, naročito ograničenje namjene, smanjenje količine podataka, ograničeno razdoblje njihove pohrane, kvalitetu podataka, tehničku i integriranu zaštita podataka, pravnu osnovu za obradu, obradu osjetljivih osobnih podataka; mjere za osiguranje sigurnosti podataka i zahtjeve za daljnje prijenose organizacijama za koje politike nisu obvezujuće;

(e) prava osoba čiji se podaci obrađuju i sredstva za ostvarivanje tih prava, uključujući pravo da osoba čiji se podaci obrađuju ne bude predmetom mjera koje se temelje na profiliranju u skladu s člankom 20., pravo na žalbu nadležnome nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 75. te na pravnu zaštitu i po potrebi odštetu za kršenje obvezujućih pravila poduzeća;

(e) prava osoba čiji se podaci obrađuju i sredstva za ostvarivanje tih prava, uključujući pravo da osoba čiji se podaci obrađuju ne bude predmetom mjera koje se temelje na profiliranju u skladu s člankom 20., pravo na žalbu nadležnome nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 75. te na pravnu zaštitu i po potrebi odštetu za kršenje obvezujućih pravila poduzeća;

(f) odgovornost koju nadzornik ili obrađivač s nastanom na teritoriju države članice prihvaća za moguće kršenje obvezujućih pravila poduzeća koje je počinio neki član grupe poduzetnika koji nema nastan u Uniji; nadzornik ili obrađivač može djelomično ili u potpunosti biti izuzet od te odgovornosti ako dokaže da nije odgovoran za događaj koji je prouzročio štetu.

(f) odgovornost koju nadzornik s nastanom na teritoriju države članice prihvaća za moguće kršenje obvezujućih pravila poduzeća koje je počinio neki član grupe poduzetnika koji nema nastan u Uniji; nadzornik može djelomično ili u potpunosti biti izuzet od te odgovornosti ako dokaže da taj član nije odgovoran za događaj na temelju kojeg je šteta nastala;

(g) načine na koje se informacije o obvezujućim pravilima poduzeća, naročito o odredbama navedenim u točkama (d), (e) i (f) ovog stavka osiguravaju za osobu čiji se podaci obrađuju, u skladu s člankom 11.;

(g) načine na koje se informacije o obvezujućim pravilima poduzeća, naročito o odredbama navedenim u točkama (d), (e) i (f) ovog stavka osiguravaju za osobu čiji se podaci obrađuju, u skladu s člankom 11.;

(h) zadatke službenika za zaštitu podataka imenovanog u skladu s člankom 35., uključujući praćenje usklađenosti s obvezujućim pravilima poduzeća unutar grupe poduzetnika kao i praćenje osposobljavanja i postupanja sa žalbama;

(h) zadatke službenika za zaštitu podataka imenovanog u skladu s člankom 35., uključujući praćenje usklađenosti s obvezujućim pravilima poduzeća unutar grupe poduzetnika kao i praćenje osposobljavanja i postupanja sa žalbama;

(i) mehanizme unutar grupe poduzetnika čiji je cilj osigurati provjeru usklađenosti s obvezujućim pravilima poduzeća;

(i) mehanizme unutar grupe poduzetnika čiji je cilj osigurati provjeru usklađenosti s obvezujućim pravilima poduzeća;

(j) mehanizme za izvještavanje o promjenama politika i njihovo evidentiranje te za podnošenje izvještaja o tim promjenama nadzornom tijelu;

(j) mehanizme za izvještavanje o promjenama politika i njihovo evidentiranje te za podnošenje izvještaja o tim promjenama nadzornom tijelu;

(k) mehanizam suradnje s nadzornim tijelom kako bi se osiguralo da svaki član grupe poduzetnika poštuje pravila, osobito tako da rezultati provjera mjera iz točke (i) ovog stavka budu dostupni nadzornom tijelu.

(k) mehanizam suradnje s nadzornim tijelom kako bi se osiguralo da svaki član grupe poduzetnika poštuje pravila, osobito tako da rezultati provjera mjera iz točke (i) ovog stavka budu dostupni nadzornom tijelu.

3. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 86. u svrhu dodatnog utvrđivanja kriterija i zahtjeva za obvezujuća pravila poduzeća u smislu ovog članka, naročito s obzirom na kriterije za njihovo odobravanje, primjenu točaka (b), (d), (e) i (f) stavka 2. na obvezujuća pravila poduzeća kojih se pridržavaju obrađivači te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka osoba čiji se podaci obrađuju.

3. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 86. u svrhu dodatnog utvrđivanja oblika, postupaka, kriterija i zahtjeva za obvezujuća pravila poduzeća u smislu ovog članka, naročito s obzirom na kriterije za njihovo odobravanje, uključujući transparentnost za osobe čiji se podaci obrađuju, primjenu točaka (b), (d), (e) i (f) stavka 2. na obvezujuća pravila poduzeća kojih se pridržavaju obrađivači te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka osoba čiji se podaci obrađuju.

4. Komisija može odrediti oblik i postupke elektroničke razmjene informacija među nadzornicima, obrađivačima i nadzornim tijelima za obvezujuća pravila poduzeća u smislu ovog članka. Ti provedbeni akti usvajaju se u skladu s postupkom provjere iz članka 87. stavka 2.

 

Amandman  140

Prijedlog Uredbe

Članak 43.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 43.a

 

Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu Unije

 

1. Presude suda ili odluke upravnih tijela treće zemlje u kojima se zahtijeva da nadzornik ili obrađivač otkriju osobne podatke ne priznaju se niti su izvršive, ne dovodeći u pitanje ugovor o međusobnoj pravnoj pomoći ili međunarodni sporazum koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice.

 

2. Ako se presudom suda ili odlukom upravnih tijela treće zemlje od nadzornika ili obrađivača zahtijeva da otkriju osobne podatke, nadzornik ili obrađivač i, ako postoji, predstavnik nadzornika bez odgode obavještavaju nadzorno tijelo o zahtjevu te od njega moraju dobiti prethodno odobrenje za prijenos ili otkrivanje podataka.

 

3. Nadzorno tijelo ocjenjuje je li zatraženo otkrivanje podataka u skladu s Uredbom, a posebno je li otkrivanje podataka potrebno ili propisano zakonom u skladu s člankom 44. stavkom 1. točkama (d) i (e) i člankom 44. stavkom 5. U slučajevima kada se postupkom otkrivanja utječe na osobe na čiji se podaci obrađuju, nadzorno tijelo primjenjuje mehanizam za usklađivanje iz članka 57.

 

4. Nadzorno tijelo o zahtjevu obavještava nadležno nacionalno tijelo. Ne dovodeći u pitanje članak 21., nadzornik ili obrađivač također obavještava osobe čiji se podaci obrađuju o zahtjevu i o odobrenju koje je izdalo nadzorno tijelo, i po potrebi, obavještava osobu čiji se podaci obrađuju o tome jesu li osobni podaci proslijeđeni javnim tijelima u posljednjem neprekinutom dvanaestomjesečnom razdoblju u skladu s člankom 14. stavkom 1. točkom (ha).

Amandman  141

Prijedlog Uredbe

Članak 44.

Tekst koji je predložila Komisija

Izmjena

Odstupanja

Odstupanja

1. Ako nije donesena odluka o odgovarajućoj razini zaštite u skladu s člankom 41. ili ne postoje odgovarajuće mjere zaštite u skladu s člankom 42., prijenos ili niz prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju može se izvesti samo pod sljedećim uvjetima:

1. Ako nije donesena odluka o odgovarajućoj razini zaštite u skladu s člankom 41. ili ne postoje odgovarajuće mjere zaštite u skladu s člankom 42., prijenos ili niz prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju može se izvesti samo pod sljedećim uvjetima:

(a) osoba čiji se podaci obrađuju pristala je na predloženi prijenos nakon što je bila obaviještena o rizicima takvog prijenosa zbog nepostojanja odluke o odgovarajućoj razini zaštite i odgovarajućih mjera zaštite; ili

(a) osoba čiji se podaci obrađuju pristala je na predloženi prijenos nakon što je bila obaviještena o rizicima takvog prijenosa zbog nepostojanja odluke o odgovarajućoj razini zaštite i odgovarajućih mjera zaštite; ili

(b) prijenos je potreban radi izvršenja ugovora između osobe čiji se podaci obrađuju i nadzornika ili radi provedbe predugovornih mjera poduzetih na zahtjev osobe čiji se podaci obrađuju; ili

(b) prijenos je potreban radi izvršenja ugovora između osobe čiji se podaci obrađuju i nadzornika ili radi provedbe predugovornih mjera poduzetih na zahtjev osobe čiji se podaci obrađuju; ili

(c) prijenos je potreban radi zaključenja ili izvršenja ugovora sklopljenog između nadzornika i druge fizičke ili pravne osobe koji je u interesu osobe čiji se podaci obrađuju; ili

(c) prijenos je potreban radi zaključenja ili izvršenja ugovora sklopljenog između nadzornika i druge fizičke ili pravne osobe koji je u interesu osobe čiji se podaci obrađuju; ili

(d) prijenos je potreban zbog važnih javnih interesa; ili

(d) prijenos je potreban zbog važnih javnih interesa; ili

(e) prijenos je potreban radi uspostave, izvršenja ili obrane zakonskog prava; ili

(e) prijenos je potreban radi uspostave, izvršenja ili obrane zakonskog prava; ili

(f) prijenos je potreban kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe kad osoba čiji se podaci obrađuju fizički ili pravno nije sposobna dati svoju suglasnost; ili

(f) prijenos je potreban kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe kad osoba čiji se podaci obrađuju fizički ili pravno nije sposobna dati svoju suglasnost; ili

(g) prijenos se vrši iz evidencije koja je prema zakonodavstvu Unije ili države članice namijenjena pružanju informacija javnosti i u nju mogu imati uvid ili javnost općenito ili bilo koja osoba koja može dokazati legitiman interes, u onoj mjeri koliko su u određenom slučaju ispunjeni uvjeti za takav uvid utvrđeni u zakonodavstvu Unije ili države članice; ili

(g) prijenos se vrši iz evidencije koja je prema zakonodavstvu Unije ili države članice namijenjena pružanju informacija javnosti i u nju mogu imati uvid ili javnost općenito ili bilo koja osoba koja može dokazati legitiman interes, u onoj mjeri koliko su u određenom slučaju ispunjeni uvjeti za takav uvid utvrđeni u zakonodavstvu Unije ili države članice;

(h) prijenos je potreban zbog legitimnih interesa koje ima nadzornik ili obrađivač i koji se ne mogu kvalificirati kao česti ili brojni i kad je nadzornik ili obrađivač ocijenio sve okolnosti prijenosa podataka ili niza prijenosa podataka te na temelju te ocjene po potrebi predvidio odgovarajuće mjere zaštite osobnih podataka.

 

2. Prijenos u skladu s točkom (g) stavka 1. ne uključuje sve osobne podatke ili sve kategorije osobnih podataka koje sadrži evidencija. Kad je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su te osobe primatelji.

2. Prijenos u skladu s točkom (g) stavka 1. ne uključuje sve osobne podatke ili sve kategorije osobnih podataka koje sadrži evidencija. Kad je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su te osobe primatelji.

3. Ako se prijenos temelji na točki (h) stavka 1., nadzornik ili obrađivač posebnu pozornost pridaje prirodi podataka, namjeni i trajanju predložene obrade ili predloženih obrada kao i situaciji u zemlji porijekla, trećoj zemlji i zemlji konačnog odredišta te po potrebi predviđa odgovarajuće mjere zaštite osobnih podataka.

 

4. Točke (b), (c), i (h) stavka 1. ne primjenjuju se za aktivnosti koje provode javna tijela pri izvršavanju svojih javnih ovlasti.

4. Točke (b) i (c) stavka 1. ne primjenjuju se za aktivnosti koje provode javna tijela pri izvršavanju svojih javnih ovlasti.

5. Javni interes iz točke (d) stavka 1. mora biti priznat u zakonodavstvu Unije ili u zakonodavstvu države članice kojem podliježe nadzornik.

5. Javni interes iz točke (d) stavka 1. mora biti priznat u zakonodavstvu Unije ili u zakonodavstvu države članice kojem podliježe nadzornik.

6. Nadzornik ili obrađivač dokumentira ocjenu i predviđene odgovarajuće mjere zaštite iz točke (h) stavka 1. ovog članka u dokumentaciji navedenoj u članku 28. te o prijenosu obavještava nadzorno tijelo.

 

7. Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 86. u svrhu dodatnog određivanja važnih javnih interesa u smislu točke (d) stavka 1. te kriterija i zahtjeva za odgovarajuće mjere zaštite iz točke (h) stavka 1.

7. Europskom odboru za zaštitu podataka povjerena je zadaća izdavanja smjernica, preporuka i najboljih praksi u skladu s člankom 66. stavkom 1. točkom (b) u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose podataka na temelju stavka 1.

Amandman  142

Prijedlog Uredbe

Članak 45. – stavak 1. – točka a

Tekst koji je predložila Komisija

Izmjena

(a) razvoj učinkovitih mehanizama međunarodne suradnje kako bi se olakšalo provođenje zakonodavstva za zaštitu osobnih podataka;

(a) razvoj učinkovitih mehanizma međunarodne suradnje kako bi se osiguralo provođenje zakonodavstva za zaštitu osobnih podataka;

Amandman  143

Prijedlog Uredbe

Članak 45. – stavak 1. – točka da (nova)

Tekst koji je predložila Komisija

Izmjena

 

(da) pojašnjavanje sukoba nadležnosti i savjetovanje na tu temu s trećim zemljama;

Amandman  144

Prijedlog Uredbe

Članak 45.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 45.a

 

Izvješće Komisije

 

Komisija u redovnim vremenskim razmacima, počevši najkasnije četiri godine nakon datuma iz članka 9. stavka 1., podnosi Europskom parlamentu i Vijeću izvješće o primjeni članaka 40. do 45. U tu svrhu Komisija može zatražiti informacije od država članica i nadzornih tijela, koje joj se prosljeđuju bez nepotrebnog odlaganja. Izvješće se objavljuje.

Amandman  145

Prijedlog Uredbe

Članak 47. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Nadzorno tijelo potpuno je neovisno u provođenju dužnosti i ovlasti koje su mu povjerene.

1. Nadzorno tijelo potpuno je neovisno i nepristrano u provođenju dužnosti i ovlasti koje su mu povjerene, bez obzira na organizaciju suradnje i usklađivanja u skladu s poglavljem VII. ove Uredbe.

Amandman  146

Prijedlog Uredbe

Članak 47. – stavak 7.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

7a. Svaka država članica osigurava da nadzorno tijelo odgovora nacionalnom parlamentu u vezi s proračunskim ndazorom.

Amandman  147

Prijedlog Uredbe

Članak 50.

Tekst koji je predložila Komisija

Izmjena

Profesionalna tajna

Profesionalna tajna

Članovi i osoblje nadzornog tijela tijekom svojeg mandata i nakon njegova isteka dužni su čuvati profesionalnu tajnu s obzirom na svaku povjerljivu informaciju koju su saznali u obavljanju svojih službenih dužnosti.

Članovi i osoblje nadzornog tijela tijekom svojeg mandata i nakon njegova isteka, a u skladu s nacionalnim zakonodavstvom i nacionalnom praksom, dužni su čuvati profesionalnu tajnu s obzirom na svaku povjerljivu informaciju koju su saznali u obavljanju svojih službenih dužnosti na neovisan i transparentan način kako je određeno Uredbom.

Amandman    148

Prijedlog Uredbe

Članak 51. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Svako nadzorno tijelo na području svoje države članice izvršava ovlasti koje su mu povjerene u skladu s ovom Uredbom.

1. Svako nadzorno tijelo ima nadležnost da obavlja dužnosti i izvršava ovlasti koje su mu povjerene u skladu s ovom Uredbom tijelo na području svoje države članice, ne dovodeći u pitanje članke 73. i 74. Nadzor nad obradom podataka koju provodi javno tijelo obavlja nadzorno tijelo te države članice.

Amandman  149

Prijedlog Uredbe

Članak 51. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Kad se obrada osobnih podataka provodi u okviru djelatnosti ustanove nadzornika ili obrađivača u Uniji, a nadzornik ili obrađivač imaju nastan u više nego jednoj državi članici, nadzorno tijelo glavnog nastana nadzornika ili obrađivača nadležno je za nadzor postupaka obrade nadzornika ili obrađivača u svim državama članicama, ne dovodeći u pitanje odredbe poglavlja VII. ove Uredbe.

Briše se.

Amandman  150

Prijedlog Uredbe

Članak 52. – stavak 1. – točka b

Tekst koji je predložila Komisija

Izmjena

(b) razmatra žalbe koje u skladu s člankom 73. uloži osoba čiji se podaci obrađuju ili udruga koja tu osobu zastupa, u primjerenoj mjeri istražuje to pitanje te osobu čiji se podaci obrađuju ili udrugu u razumnom roku obavještava o tijeku i ishodu žalbe, naročito ako je potrebna daljnja istraga ili usklađivanje s drugim nadzornim tijelom;

(b) razmatra žalbe koje u skladu s člankom 73. uloži osoba čiji se podaci obrađuju ili udruga, u primjerenoj mjeri istražuje to pitanje te osobu čiji se podaci obrađuju ili udrugu u razumnom roku obavještava o tijeku i ishodu žalbe, naročito ako je potrebna daljnja istraga ili usklađivanje s drugim nadzornim tijelom;

Amandman  151

Prijedlog Uredbe

Članak 52. – stavak 1. – točka d

Tekst koji je predložila Komisija

Izmjena

(d) provodi istrage na vlastitu inicijativu ili na temelju žalbe ili na zahtjev drugoga nadzornog tijela te osobu čiji se podaci obrađuju, ako je ta osoba uložila žalbu ovome nadzornom tijelu, u razumnom roku obavještava o ishodu istrage;

(d) provodi istrage na vlastitu inicijativu ili na temelju žalbe ili određenih zaprimljenih i dokumentiranih informacija o navodnoj nezakonitoj obradi podataka ili na zahtjev drugoga nadzornog tijela te osobu čiji se podaci obrađuju, ako je ta osoba uložila žalbu ovome nadzornom tijelu, u razumnom roku obavještava o ishodu istrage;

Amandman  152

Prijedlog Uredbe

Članak 52. – stavak 1. – točka ja (nova)

Tekst koji je predložila Komisija

Izmjena

 

(ja) u skladu s člankom 39. nadzornicima i obrađivačima izdaje certifikate.

Amandman  153

Prijedlog Uredbe

Članak 52. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Svako nadzorno tijelo mora promicati svijest javnosti o opasnostima, pravilima, mjerama zaštite i pravima vezanima uz obradu osobnih podataka. Posebna pozornost pridaje se aktivnostima koje se izričito odnose na djecu.

2. Svako nadzorno tijelo mora promicati svijest javnosti o opasnostima, pravilima, mjerama zaštite, pravima vezanima uz obradu osobnih podataka i odgovarajućim mjerama za zaštitu osobnih podataka. Posebna pozornost pridaje se aktivnostima koje se izričito odnose na djecu.

Amandman  154

Prijedlog Uredbe

Članak 52. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a. Svako nadzorno tijelo zajedno s Europskim odborom za zaštitu podataka promiče svijest nadzornika i obrađivača o opasnostima, pravilima, mjerama zaštite, pravima vezanima uz obradu osobnih podataka. To uključuje vođenje evidencije o snakcijama i povredama. Evidencija bi trebala sadržavati što detaljnije određene opomene i sankcije, kao i rješavanje povreda. Savko nadzorno tijelo mikro, malim i srednjim poduzećima koje obavljuju funkciju nadzornika i obrađivača na zahtjev osigurava opće informacije o njihovim odgovornostima i obavezama u skladu s ovom Uredbom.

Amandman  155

Prijedlog Uredbe

Članak 52. – stavak 6.

Tekst koji je predložila Komisija

Izmjena

6. Ako su zahtjevi pretjerani, posebice ako se ponavljaju, nadzorno tijelo može naplatiti uslugu ili ne mora obaviti zadatak koji je zatražila osoba čiji se podaci obrađuju. U tom slučaju nadzorno tijelo dokazuje pretjeranost zahtjeva.

6. Ako su zahtjevi pretjerani, posebice ako se ponavljaju, nadzorno tijelo može naplatiti uslugu u razumnom iznosu ili ne mora obaviti zadatak koji je zatražila osoba čiji se podaci obrađuju. Cijena spomenute usluge ne prelazi troškove obavljanja zadatka koji je zatražila osoba čiji se podaci obrađuju. U tom slučaju nadzorno tijelo dokazuje pretjeranost zahtjeva.

Amandman  156

Prijedlog Uredbe

Članak 53.

Tekst koji je predložila Komisija

Izmjena

Ovlasti

Ovlasti

1. Svako nadzorno tijelo ovlašteno je da:

1. U skladu s ovom Uredbom svako nadzorno tijelo ovlašteno je da:

(a) obavijesti nadzornika ili obrađivača o navodnom kršenju odredbi kojima se uređuje obrada osobnih podataka i po potrebi nadzorniku ili obrađivaču naloži da na određen način ukloni to kršenje kako bi se poboljšala zaštita osobe čiji se podaci obrađuju.

(a) obavijesti nadzornika ili obrađivača o navodnom kršenju odredbi kojima se uređuje obrada osobnih podataka i po potrebi nadzorniku ili obrađivaču naloži da na određen način ukloni to kršenje kako bi se poboljšala zaštita osobe čiji se podaci obrađuju ili da naloži nadzorniku da osobu čiji se podaci obrađuju obavijesti o povredi njezinih osobnih podataka.

(b) nadzorniku ili obrađivaču naredi da udovolje zahtjevu osobe čiji se podaci obrađuju u vezi s ostvarivanjem prava iz ove Uredbe;

(b) nadzorniku ili obrađivaču naredi da udovolje zahtjevu osobe čiji se podaci obrađuju u vezi s ostvarivanjem prava iz ove Uredbe;

(c) nadzorniku ili obrađivaču te, ako je potrebno, predstavniku naredi da osigura sve informacije potrebne za obavljanje svojih dužnosti;

(c) nadzorniku ili obrađivaču te, ako je potrebno, predstavniku naredi da osigura sve informacije potrebne za obavljanje svojih dužnosti;

(d) osigura sukladnost s prethodnim odobrenjima i prethodnim savjetovanjima iz članka 34.;

(d) osigura sukladnost s prethodnim odobrenjima i prethodnim savjetovanjima iz članka 34.;

(e) upozori ili opomene nadzornika ili obrađivača;

(e) upozori ili opomene nadzornika ili obrađivača;

(f) naredi ispravljanje, brisanje ili uništenje svih podataka koji su bili obrađeni pri kršenju odredbi ove Uredbe te o takvim mjerama obavijesti treće strane kojima su podaci bili otkriveni;

(f) naredi ispravljanje, brisanje ili uništenje svih podataka koji su bili obrađeni pri kršenju odredbi ove Uredbe te o takvim mjerama obavijesti treće strane kojima su podaci bili otkriveni;

(g) privremeno ili konačno zabrani obradu;

(g) privremeno ili konačno zabrani obradu;

(h) prekine prijenose podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji;

(h) prekine prijenose podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji;

(i) daje mišljenja o svim pitanjima koja se odnose na zaštitu osobnih podataka;

(i) daje mišljenja o svim pitanjima koja se odnose na zaštitu osobnih podataka;

 

(ia) u skladu s člankom 39. nadzornicima i obrađivačima izdaje certifikate.

(j) nacionalni parlament, vladu ili druge političke institucije i javnost obavijesti o svim pitanjima koja se odnose na zaštitu osobnih podataka.

(j) nacionalni parlament, vladu ili druge političke institucije i javnost obavijesti o svim pitanjima koja se odnose na zaštitu osobnih podataka;

 

(ja) uspostavi učinkovite mehanizme za poticanje povjerljivog izvješćivanja o kršenju ove Uredbe, uzimajući u obzir smjernice koje je u skladu s člankom 66. stavkom 4. točkom (b) izdao Europski odbor za zaštitu podataka.

2. Svako nadzorno tijelo ima istražne ovlasti da od nadzornika ili obrađivača dobije:

2. Svako nadzorno tijelo ima istražne ovlasti da od nadzornika ili obrađivača bez prethodne obavijesti dobije:

(a) pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih dužnosti;

(a) pristup svim osobnim podacima i svim dokumentima i informacijama potrebnim za obavljanje svojih dužnosti;

(b) pristup svim njihovim prostorijama, uključujući svu opremu i sredstva za obradu podataka, ako postoje utemeljeni razlozi za pretpostavku da se u njima provodi aktivnost kojom se krši ova Uredba.

(b) pristup svim njihovim prostorijama, uključujući svu opremu i sredstva za obradu podataka.

Ovlasti navedene u točki (b) provode se u skladu sa zakonodavstvom Unije i zakonodavstvom država članica.

Ovlasti navedene u točki (b) provode se u skladu sa zakonodavstvom Unije i zakonodavstvom država članica.

3. Svako nadzorno tijelo ima ovlast da obavijesti sudske vlasti o kršenju ove Uredbe i sudjeluje u pravnim postupcima, naročito u skladu s člankom 74. stavkom 4. i člankom 75. člankom 2.

3. Svako nadzorno tijelo ima ovlast da obavijesti sudske vlasti o kršenju ove Uredbe i sudjeluje u pravnim postupcima, naročito u skladu s člankom 74. stavkom 4. i člankom 75. člankom 2.

4. Svako nadzorno tijelo ima ovlast da kazni upravne prijestupe, naročito one navedene u članku 79. stavcima 4., 5. i 6.

4. Svako nadzorno tijelo ima ovlast da kazni upravne prijestupe u skladu s člankom 79. Tu ovlast provodi učinkovito, proporcionalno i odvraćajuće.

Amandman  157

Prijedlog Uredbe

Članak 54.

Tekst koji je predložila Komisija

Izmjena

Svako nadzorno tijelo mora sastaviti godišnji izvještaj o svojim aktivnostima. Izvještaj se predstavlja nacionalnom parlamentu i dostupan je javnosti, Komisiji i Europskom odboru za zaštitu podataka.

Svako nadzorno tijelo mora sastaviti izvještaj o svojim aktivnostima najmanje svake dvije godine. Izvještaj se predstavlja nadležnom parlamentu i dostupan je javnosti, Komisiji i Europskom odboru za zaštitu podataka.

Amandman  158

Prijedlog Uredbe

Članak 54.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 54a

 

Vodeće tijelo

 

1. Kad se obrada osobnih podataka provodi u okviru djelatnosti ustanove nadzornika ili obrađivača u Uniji, a nadzornik ili obrađivač imaju nastan u više nego jednoj državi članici ili kada se obrađuju osobni podaci rezidenata nekoliko država članica, nadzorno tijelo glavnog nastana nadzornika ili obrađivača djeluje kao vodeće tijelo odgovorno za nadzor postupaka obrade nadzornika ili obrađivača u svim državama članicama, u skladu s odredbama poglavlja VII. ove Uredbe.

 

2. Vodeće nadzorno tijelo poduzima primjerene mjere nadzora nad postupcima obrade koje provodi nadzornik ili obrađivač za koji je tijelo odgovorno i to tek nakon savjetovanja sa svima drugim nadležnim nadzornim tijelima u smislu članka 51. stavka 1. u nastojanju da se postigne konsenzus. U tu svrhu u prvom redu dostavlja sve relevantne informacije i savjetuje se s ostalim tijelima prije donošenja mjera kojima se proizvode pravni učinci na nadzornika ili obrađivača u smislu članka 51. stavka 1. Vodeće tijelo maksimalno uvažava mišljenja uključenih tijela. Vodeće tijelo jedino je tijelo koje je ovlašteno donositi odluke o mjerama kojima se proizvode pravni učinci na postupke obrade koje provodi nadzornik ili obrađivač za koje je tijelo odgovorno.

 

3. Europski odbor za zaštitu podataka na zahtjev nadležnog nadzornog tijela izdaje mišljenje o identifikaciji vodećeg tijela odgovornog za nadzornika ili obrađivača u slučajevima kada:

 

(a) iz činjenica nije jasno gdje proizvođač ili obrađivač imaju glavni poslovni nastan; ili

 

(b) se nadležna tijela ne slažu oko toga koje nadzorno tijelo obavlja dužnost vodećeg tijela; ili

 

(c) nadzornik nema poslovni nastan u Uniji, a postupci obrade u okviru područja primjene ove Uredbe utječu na rezidente različitih država članica.

 

3a. Ako nadzornik također obavlja aktivnosti obrađivača, nadzorno tijelo glavnog nastana nadzornika djeluje kao vodeće tijelo za nadzor postupaka obrade.

 

4. Europski odbor za zaštitu podataka može odlučiti o određivanju vodećeg tijela.

(Paragraph 1 in Parliament's amendment is based on Article 51(2) of the Commission proposal).

Amandman  159

Prijedlog Uredbe

Članak 55. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Nadzorna tijela jedno drugome pružaju relevantne informacije i pomoć kako bi se dosljedno provela i primijenila ova Uredba, te uvode mjere za učinkovitu međusobnu suradnju. Uzajamna pomoć uključuje posebice zahtjeve za informacije i mjere nadzora kao što su zahtjevi za prethodna odobrenja i savjetovanja, preglede i hitno obavještavanje o početku postupaka i daljnjem razvoju kad je vjerojatno da će postupci obrade utjecati na osobe čiji se podaci obrađuju u više država članica.

1. Nadzorna tijela jedno drugome pružaju relevantne informacije i pomoć kako bi se dosljedno provela i primijenila ova Uredba, te uvode mjere za učinkovitu međusobnu suradnju. Uzajamna pomoć uključuje posebice zahtjeve za informacije i mjere nadzora kao što su zahtjevi za prethodna odobrenja i savjetovanja, preglede, istrage i hitno obavještavanje o početku postupaka i daljnjem razvoju kad nadzornik ili obrađivač ima nastane u nekoliko država članica ili kad je vjerojatno da će postupci obrade utjecati na osobe čiji se podaci obrađuju u više država članica. Vodeće tijelo kako je definirano u članku 54.a osigurava koordinaciju s uključenim nadzornim tijelima te djeluje kao jedinstvena kontaktna točka za nadzornika ili obrađivača.

Amandman  160

Prijedlog Uredbe

Članak 55. – stavak 7.

Tekst koji je predložila Komisija

Izmjena

7. Pristojba se ne naplaćuje ni za kakvu mjeru poduzetu na temelju zahtjeva za uzajamnu pomoć.

7. Pristojba se ne naplaćuje nadzornom tijelu koje je podnijelo zahtjev ni za kakvu mjeru poduzetu na temelju zahtjeva.

Amandman  161

Prijedlog Uredbe

Članak 55. – stavak 8.

Tekst koji je predložila Komisija

Izmjena

8. Ako nadzorno tijelo ne djeluje u roku od mjesec dana nakon primitka zahtjeva drugoga nadzornog tijela, nadzorno tijelo koje je podnijelo zahtjev nadležno je za poduzimanje privremene mjere na području svoje država članice u skladu s člankom 51. stavkom 1. te predmet predaje Europskom odboru za zaštitu podataka u skladu s postupkom iz članka 57.

8. Ako nadzorno tijelo ne djeluje u roku od mjesec dana nakon primitka zahtjeva drugoga nadzornog tijela, nadzorno tijelo koje je podnijelo zahtjev nadležno je za poduzimanje privremene mjere na području svoje država članice u skladu s člankom 51. stavkom 1. te predmet predaje Europskom odboru za zaštitu podataka u skladu s postupkom iz članka 57. Ako još nije moguće poduzeti konačnu mjeru, zato što pružanje uzajamne pomoći još nije okončano, nadzorno tijelo koje je podnijelo zahtjev na teritoriju svoje države članice može poduzimati privremene mjere u skladu s člankom 53.

Amandman  162

Prijedlog Uredbe

Članak 55. – stavak 9.

Tekst koji je predložila Komisija

Izmjena

9. Nadzorno tijelo određuje razdoblje valjanosti takve privremene mjere. To razdoblje nije duže od tri mjeseca. Nadzorno tijelo, bez odgode i navodeći sve razloge, o tim mjerama obavještava Europski odbor za zaštitu podataka i Komisiju.

9. Nadzorno tijelo određuje razdoblje valjanosti takve privremene mjere. To razdoblje nije duže od tri mjeseca. Nadzorno tijelo, bez odgode i navodeći sve razloge, o tim mjerama obavještava Europski odbor za zaštitu podataka i Komisiju u skladu s postupkom iz članka 57.

Amandman  163

Prijedlog Uredbe

Članak 55. – stavak 10.

Tekst koji je predložila Komisija

Izmjena

10. Komisija može odrediti oblik i postupke uzajamne pomoći navedene u ovom članku te dogovore o razmjeni informacija elektroničkim sredstvima među nadzornim tijelima te među nadzornim tijelima i Europskim odborom za zaštitu podataka, naročito standardizirani oblik iz stavka 6. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

10. Europski odboro za zaštitu podataka može odrediti oblik i postupke uzajamne pomoći navedene u ovom članku te dogovore o razmjeni informacija elektroničkim sredstvima među nadzornim tijelima te među nadzornim tijelima i Europskim odborom za zaštitu podataka, naročito standardizirani oblik iz stavka 6.

Amandman  164

Prijedlog Uredbe

Članak 56. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Kad postoji vjerojatnost da će postupci obrade u više država članica utjecati na osobe čiji se podaci obrađuju, nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim istražnim zadaćama ili zajedničkim mjerama, ovisno o potrebi. Nadležno nadzorno tijelo poziva nadzorno tijelo svake od tih država članica da sudjeluje u odgovarajućim istražnim zadacima ili zajedničkim mjerama te se bez odgode odziva na zahtjev nadzornog tijela koji se odnosi na sudjelovanje u mjerama.

2. Kad nadzornik ili obrađivač ima nastane u nekoliko država članica ili kad postoji vjerojatnost da će postupci obrade u više država članica utjecati na osobe čiji se podaci obrađuju, nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim istražnim zadaćama ili zajedničkim mjerama, ovisno o potrebi. Vodeće tijelo kako je definirano u članku 54.a uključuje nadzorno tijelo svake od tih država članica da sudjeluje u odgovarajućim istražnim zadacima ili zajedničkim mjerama te se bez odgode odziva na zahtjev nadzornog tijela koji se odnosi na sudjelovanje u mjerama. Vodeće tijelo djeluje kao jedinstvena kontaktna točka za nadzornika ili obrađivača.

Amandman  165

Prijedlog Uredbe

Članak 57.

Tekst koji je predložila Komisija

Izmjena

Mehanizam za usklađivanje

Mehanizam za usklađivanje

Za namjene iz članka 46. stavka 1. nadzorna tijela surađuju međusobno i s Komisijom preko mehanizma za usklađivanje, kako je određeno u ovom odjeljku.

Za namjene iz članka 46. stavka 1. nadzorna tijela surađuju međusobno i s Komisijom preko mehanizma za usklađivanje u općim pitanjima i u pojedinačnim slučajevima, u skladu s odredbama u ovom odjeljku.

Amandman  166

Prijedlog Uredbe

Članak 58.

Tekst koji je predložila Komisija

Izmjena

Mišljenje Europskog odbora za zaštitu podataka

Consistency on matters of general application

1. Prije nego nadzorno tijelo usvoji mjeru iz stavka 2., nacrt mjere prosljeđuje Europskom odboru za zaštitu podataka i Komisiji.

1. Prije nego nadzorno tijelo usvoji mjeru iz stavka 2., nacrt mjere prosljeđuje Europskom odboru za zaštitu podataka i Komisiji.

2. Obaveza određena u stavku 1. primjenjuje se na mjeru čija su namjena pravni učinci i koja:

2. Obaveza određena u stavku 1. primjenjuje se na mjeru čija su namjena pravni učinci i koja:

(a) se odnosi na postupke obrade u vezi s ponudom roba ili usluga osobama čiji se podaci obrađuju u više država članica ili s praćenjem njihova ponašanja; ili

 

(b) može znatno utjecati na slobodno kretanje osobnih podataka unutar Unije; ili

 

(c) je namijenjena usvajanju popisa postupaka obrade za koje je potrebno prethodno savjetovanje u skladu s člankom 34. stavkom 5.; ili

 

(d) je namijenjenaodređivanju standardnih klauzula o zaštiti podataka iz točke (c) članka 42. stavka 2.; ili

(d) je namijenjena određivanju standardnih klauzula o zaštiti podataka iz točke (c) članka 42. stavka 2.; ili

(e) je namijenjena odobrenju ugovornih klauzula iz točke (d) članka 42. stavka 2.; ili

(e) je namijenjena odobrenju ugovornih klauzula iz točke (d) članka 42. stavka 2.; ili

(f) je namijenjena odobrenju obvezujućih pravila poduzeća u smislu članka 43.

(f) je namijenjena odobrenju obvezujućih pravila poduzeća u smislu članka 43.

3. Svako nadzorno tijelo ili Europski odbor za zaštitu podataka može zatražiti da se bilo koji predmet obradi u mehanizmu za usklađivanje, naročito ako nadzorno tijelo ne predloži nacrt mjere iz stavka 2. ili ne ispuni obveze u vezi sa zajedničkom pomoći u skladu s člankom 55. ili u vezi sa zajedničkim mjerama u skladu s člankom 56.

3. Svako nadzorno tijelo ili Europski odbor za zaštitu podataka može zatražiti da se bilo koji predmet opće primjene obradi u mehanizmu za usklađivanje, naročito ako nadzorno tijelo ne predloži nacrt mjere iz stavka 2. ili ne ispuni obveze u vezi sa zajedničkom pomoći u skladu s člankom 55. ili u vezi sa zajedničkim mjerama u skladu s člankom 56.

4. Kako bi zajamčila pravilnu i dosljednu primjenu ove Uredbe, Komisija može zatražiti da se bilo koji predmet obradi u mehanizmu za usklađivanje.

4. Kako bi zajamčila pravilnu i dosljednu primjenu ove Uredbe, Komisija može zatražiti da se bilo koji predmetopće primjene obradi u mehanizmu za usklađivanje.

5. Nadzorna tijela i Komisija u standardiziranom elektroničkom obliku prosljeđuju sve relevantne informacije, uključujući po potrebi sažet prikaz činjenica, nacrt mjere i razloge zbog kojih je donošenje takve mjere potrebno.

5. Nadzorna tijela i Komisija bez nepotrebnog odlaganja u standardiziranom elektroničkom obliku prosljeđuju sve relevantne informacije, uključujući po potrebi sažet prikaz činjenica, nacrt mjere i razloge zbog kojih je donošenje takve mjere potrebno.

6. Predsjednik Europskog odbora za zaštitu podataka u standardiziranom elektroničkom obliku odmah obavještava članove Europskog odbora za zaštitu podataka i Komisiju o svim relevantnim informacijama koje je primio. Predsjednik Europskog odbora za zaštitu podataka po potrebi osigurava prijevode relevantnih informacija.

6. Predsjednik Europskog odbora za zaštitu podataka bez nepotrebnog odlaganja u standardiziranom elektroničkom obliku bez odlaganja obavještava članove Europskog odbora za zaštitu podataka i Komisiju o svim relevantnim informacijama koje je primio. Tajništvo Europskog odbora za zaštitu podataka po potrebi osigurava prijevode relevantnih informacija.

 

6a. Europski odbor za zaštitu podataka donosi mišljenje o predmetima koji su mu upućeni na temelju stavka 2.

7. Europski odbor za zaštitu podataka daje mišljenje o predmetu ako tako odluči običnom većinom ili ako to zahtijeva bilo koje nadzorno tijelo ili Komisija, u roku od jednog tjedna nakon primitka relevantne informacije u skladu sa stavkom 5. Mišljenje se usvaja u roku od mjesec dana većinom članova Europskog odbora za zaštitu podataka. Predsjednik Europskog odbora za zaštitu podataka o mišljenju bez odlaganja obavještava nadzorno tijelo iz stavka 1. odnosno stavka 3., Komisiju i nadležno nadzorno tijelo na temelju članka 51. te ga objavljuje.

7. Europski odbor za zaštitu podataka može odlučiti običnom većinom o donošenju mišljenja o bilo kojem predmetu podnesenom na temelju stavaka 3. i 4., uzimajući u obzir:

 

(a) sadrži li predmet nove elemente, uzimajući u obzir pravna i činjenična zbivanja, osobito na području informacijskih tehnologija, i napredak informatičkog društva; i

 

(b) je li Europski odbor za zaštitu podataka o tom predmetu već dao mišljenje.

8. Nadzorno tijelo iz stavka 1. i nadležno nadzorno tijelo na temelju članka 51. uzimaju u obzir mišljenje Europskog odbora za zaštitu podataka i u roku od dva tjedna nakon što ih je predsjednik Europskog odbora za zaštitu podataka obavijestio o mišljenju u standardiziranom elektroničkom obliku obavještavaju predsjednika Europskog odbora za zaštitu podataka i Komisiju o tome hoće li zadržati svoj nacrt mjere ili će ga izmijeniti ili ih obavještavaju o izmijenjenom nacrtu mjere, ako postoji.

8. Europski odbor za zaštitu podataka donosi mišljenja u skladu sa stavcima 6a i 7. običnom većinom galsova svojih članova. Ta se mišljenja objavljuju.

Amandman               167

Proposition de règlement

Članak 58.a (novi)

Texte proposé par la Commission

Amendement

 

Članak 58a

 

Dosljednost u pojedinačnim slučajevima

 

1. Prije poduzimanja mjere čija je namjena proizvesti pravne učinke u smislu članka 54a, vodeće tijelo dijeli sve važne informacije sa svim ostalim nadležnim tijelima i predlaže im nacrt mjere. Vodeće tijelo ne usvaja mjeru ako se nadležno tijelo u roku od tri tjedna snažno usprotivi mjeri.

 

2. Ako se se nadležno tijelo snažno usprotivilo nacrtu mjere koji je predložilo vodeće tijelo ili ako vodeće tijelo ne predloži nacrt mjere iz stavka 1. ili ne ispuni obavezu pružanja uzajamne pomoći u skladu s člankom 55. ili zajedničkog djelovanja u skladu s člankom 56., predmet razmatra Europski odbor za zaštitu podataka.

 

3. Vodeće tijelo i/ili uključena nadležna tijela i Komisija bez nepotrebnog odlaganja i u standardiziranom elektroničkom obliku prosljeđuju Europskom odboru za zaštitu podataka sve relevantne informacije, po potrebi i sažetak činjenica, nacrt mjere, razloge zbog kojih je donošenje te mjere potrebno, prigovore iznesene protiv te mjere te stajališta drugih uključenih nadležnih tijela.

 

4. Europski odbor za zaštitu podataka razmatra predmet, uzimajući u obzir učinak nacrta mjere vodećeg tijela na temeljna prava i slobode osoba čiji se podaci obrađuju i običnom većinom glasova odlučuje o tome hoće li izdati mišljenje o tom predmetu u roku od dva tjedna od kad su važne informacije dostavljene u skladu sa stavkom 3.

 

5. Ako Europski odbor za zaštitu podataka odluči izdati mišljenje, to će učiniti u roku od šest tjedana te će mišljenje i objaviti.

 

6. Vodeće tijelo u najvećoj mogućoj mjeri uzima u obzir mišljenje Europskog odbora za zaštitu podataka i u roku od dva tjedna nakon što ih je predsjednik Europskog odbora za zaštitu podataka obavijestio o mišljenju u standardiziranom elektroničkom obliku obavještavaju predsjednika Europskog odbora za zaštitu podataka i Komisiju o tome hoće li zadržati svoj nacrt mjere ili će ga izmijeniti ili ih obavještavaju o izmijenjenom nacrtu mjere, ako postoji. Ako vodeće tijelo ne namjerava postupiti u skladu s mišljenjem Europskog odbora za zaštitu podataka, ono dostavlja utemeljeno obrazloženje.

 

7. U slučaju da se Europski odbor za zaštitu podataka i dalje protivi mjeri nadzornog tijela, u skladu sa stavkom 5. i u roku od jednog mjeseca dvotrećinksom većinom može donijeti mjeru koja je za nadzorno tijelo obvezujuća.

Amandman  168

Prijedlog Uredbe

Članak 59.

Tekst koji je predložila Komisija

Izmjena

Članak 59.

Briše se.

Mišljenje Komisije

 

1. U roku od deset tjedana nakon podnošenja pitanja iz članka 58. ili najkasnije u roku od šest tjedana u slučaju članka 61. Komisija može, kako bi zajamčila pravilnu i dosljednu primjenu ove Uredbe, usvojiti mišljenje u vezi s pitanjima koja su se pojavila u skladu s člankom 58. ili 61.

 

2. Ako je Komisija usvojila mišljenje u skladu sa stavkom 1., dotično nadzorno tijelo u najvećoj mogućoj mjeri uzima u obzir mišljenje Komisije te Komisiju i Europski odbor za zaštitu podataka obavještava o tome namjerava li zadržati svoj nacrt mjere ili ga izmijeniti.

 

3. U razdoblju iz stavka 1. nadzorno tijelo ne usvaja nacrt mjere.

 

4. Ako dotično nadzorno tijelo ne namjerava poštovati mišljenje Komisije, Komisiju i Europski odbor za zaštitu podataka o tome obavještava u roku iz stavka 1. te dostavlja obrazloženje. U ovom slučaju nacrt mjere ne usvaja se daljnjih mjesec dana.

 

Amandman  169

Prijedlog Uredbe

Članak 60.

Tekst koji je predložila Komisija

Izmjena

Članak 60.

Briše se.

Privremeni opoziv nacrta mjere

 

1. U roku od mjesec dana nakon obavijesti iz članka 59. stavka 4. i ako postoji ozbiljna sumnja u to osigurava li nacrt mjere pravilnu primjenu ove Uredbe ili bi mogao dovesti do njezine nedosljedne primjene Komisija može usvojiti obrazloženu odluku u kojoj od nadzornog tijela zahtijeva da privremeno opozove usvajanje nacrta mjere, poštujući pritom mišljenje Europskog odbora za zaštitu podataka u skladu s člankom 58. stavkom 7. ili člankom 61. stavkom 2. ako se to čini potrebnim radi:

 

(a) usklađivanja različitih stajališta nadzornog tijela i Europskog odbora za zaštitu podataka, ako se to još čini mogućim; ili

 

(b) usvajanja mjere u skladu s točkom (a) članka 62. stavka 1.

 

2. Komisija određuje trajanje privremenog opoziva koje nije duže od 12 mjeseci.

 

3. U razdoblju iz stavka 2. nadzorno tijelo ne smije usvojiti nacrt mjere.

 

Amandman  170

Prijedlog Uredbe

Članak 60.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 60a

 

Obavještavanje Europskog parlamenta i Vijeća

 

Komisija obavještava Europski parlament i Vijeće temeljeći se na izvješću predsjednika Europskog odbora za zaštitu podataka i u redovnim vremenskim razmacima, a najmanje svakih šest mjeseci, o predmetima riješenima u okviru mehanizma za usklađivanje, pri čemu navodi zaključke koje su donijeli Komisija i Europski odbor za zaštitu podataka u cilju osiguravanja dosljedne provedbe i primjene ove Uredbe.

Amandman  171

Prijedlog Uredbe

Članak 61. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. U izvanrednim okolnostima, kad nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi osobe čiji se podaci obrađuju, naročito kad postoji opasnost da bi ostvarivanje prava osobe čiji se podaci obrađuju moglo biti znatno otežano zbog promjene postojećeg stanja ili uklanjanja negativnih učinaka ili drugih razloga, može odstupajući od postupka iz članka 58. bez odgode usvojiti privremene mjere s utvrđenim razdobljem valjanosti. Nadzorno tijelo, bez odgode i navodeći sve razloge, o tim mjerama obavještava Europski odbor za zaštitu podataka i Komisiju.

1. U izvanrednim okolnostima, kad nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi osobe čiji se podaci obrađuju, naročito kad postoji opasnost da bi ostvarivanje prava osobe čiji se podaci obrađuju moglo biti znatno otežano zbog promjene postojećeg stanja ili uklanjanja negativnih učinaka ili drugih razloga, može odstupajući od postupka iz članka 58.a bez odgode usvojiti privremene mjere s utvrđenim razdobljem valjanosti. Nadzorno tijelo, bez odgode i navodeći sve razloge, o tim mjerama obavještava Europski odbor za zaštitu podataka i Komisiju.

Amandman  172

Prijedlog Uredbe

Članak 61. – stavak 4.

Tekst koji je predložila Komisija

Izmjena

4. Odstupajući od članka 58. stavka 7. hitno mišljenje iz stavaka 2. i 3. ovog članka usvaja se u roku od dva tjedna većinom članova Europskog odbora za zaštitu podataka.

4. Hitno mišljenje iz stavaka 2. i 3. ovog članka usvaja se u roku od dva tjedna većinom članova Europskog odbora za zaštitu podataka.

Amandman  173

Prijedlog Uredbe

Članak 62.

Tekst koji je predložila Komisija

Izmjena

Provedbeni akti

Provedbeni akti

Komisija može usvojiti provedbene akte kojima:

1. Nakon što zatraži mišljenje Europskog odbora za zaštitu podataka Komisija može usvojiti provedbene akte opće primjene kojima:

(a) donosi odluku o ispravnoj primjeni ove Uredbe u skladu sa svojim ciljevima i zahtjevima u vezi s predmetima o kojima su je obavijestila nadzorna tijela u skladu s člankom 58. ili 61., u odnosu na predmete u vezi s kojima je usvojena obrazložena odluka u skladu s člankom 60. stavkom 1., u odnosu na predmete u vezi s kojima nadzorno tijelo ne podnosi nacrt mjere te je navelo da ne namjerava poštovati mišljenje Komisije usvojeno u skladu s člankom 59.;

 

(b) u razdoblju iz članka 59. stavka 1. donosi odluku o tome hoće li nacrte standardnih klauzula o zaštiti podataka iz točke (d) članka 58. stavka 2. proglasiti opće valjanima;

(b) donosi odluku o tome hoće li nacrte standardnih klauzula o zaštiti podataka iz točke (d) članka 42. stavka 2. proglasiti opće valjanima;

(c) određuje oblik i postupke primjene mehanizma dosljednosti iz ovog odjeljka;

 

(d) određuje dogovore o razmjeni informacija elektroničkim sredstvima među nadzornim tijelima te među nadzornim tijelima i Europskim odborom za zaštitu podataka, naročito standardizirani oblik iz članka 58. stavka 5., 6. i 8.

(d) određuje dogovore o razmjeni informacija elektroničkim sredstvima među nadzornim tijelima te među nadzornim tijelima i Europskim odborom za zaštitu podataka, naročito standardizirani oblik iz članka 58. stavka 5., 6. i 8.

Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

 

2. Komisija na temelju opravdanih izrazito hitnih razloga u vezi s interesima osobe čiji se podaci obrađuju u slučajevima iz točke (a) stavka 1. usvaja provedbene akte u skladu s postupkom iz članka 87. stavka 3. koji se mogu primijeniti odmah. Ti akti ostaju na snazi najduže 12 mjeseci.

 

3. Neusvajanje ili usvajanje mjere na temelju ovog odjeljka ne dovodi u pitanje nijednu drugu mjeru Komisije na temelju Ugovora.

3. Neusvajanje ili usvajanje mjere na temelju ovog odjeljka ne dovodi u pitanje nijednu drugu mjeru Komisije na temelju Ugovora.

Amandman  174

Prijedlog Uredbe

Članak 63. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Ako nadzorno tijelo ne predloži nacrt mjere za mehanizam za usklađivanje i time krši članak 58. stavke 1. do 5., mjera nadzornog tijela nije pravno valjana ni primjenjiva.

2. Ako nadzorno tijelo ne predloži nacrt mjere za mehanizam za usklađivanje i time krši članak 58. stavke 1. do 2. ili usvoji mjeru unatoč snažnom protivljenju u skladu s člankom 58.a stavkom 1., mjera nadzornog tijela nije pravno valjana ni primjenjiva.

Amandman  175

Prijedlog Uredbe

Članak 66.

Tekst koji je predložila Komisija

Izmjena

Zadaće Europskog odbora za zaštitu podataka

Zadaće Europskog odbora za zaštitu podataka

1. Europski odbor za zaštitu podataka osigurava dosljednu primjenu ove Uredbe. U tu svrhu Europski odbor za zaštitu podataka na vlastitu inicijativu ili na zahtjev Komisije osobito:

1. Europski odbor za zaštitu podataka osigurava dosljednu primjenu ove Uredbe. U tu svrhu Europski odbor za zaštitu podataka na vlastitu inicijativu ili na zahtjev Europskog parlamenta,Vijeća ili Komisije osobito:

(a) savjetuje Komisiju o svim pitanjima u vezi sa zaštitom osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Uredbe;

(a) savjetuje europske institucije o svim pitanjima u vezi sa zaštitom osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Uredbe;

 

(b) razmatra na vlastitu inicijativu ili na zahtjev jednog od svojih članova ili na zahtjev Komisije svako pitanje u vezi s primjenom ove Uredbe te izdaje smjernice, preporuke i primjere najbolje prakse upućene nadzornim tijelima kako bi se potakla dosljedna primjena ove Uredbe;

(b) razmatra na vlastitu inicijativu ili na zahtjev jednog od svojih članova ili na zahtjev Europskog parlamenta, Vijeća ili Komisije svako pitanje u vezi s primjenom ove Uredbe te izdaje smjernice, preporuke i primjere najbolje prakse upućene nadzornim tijelima kako bi se potakla dosljedna primjena ove Uredbe, između ostalog u vezi s izvršnim ovlastima;

(c) provjerava primjenu smjernica, preporuka i primjera najbolje prakse iz točke (b) i o tome redovito izvještava Komisiju;

(c) provjerava primjenu smjernica, preporuka i primjera najbolje prakse iz točke (b) i o tome redovito izvještava Komisiju;

(d) daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom dosljednosti iz članka 57.;

(d) daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom dosljednosti iz članka 57.;

 

(da) daje mišljenje o tome koje bi tijelo trebalo biti vodeće tijelo u skladu s člankom 54.a stavkom 3.;

(e) promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i prakse među nadzornim tijelima;

(e) promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i prakse među nadzornim tijelima, uključujući koordinaciju zajedničkog djelovanja i ostalih zajedničkih aktivnosti, ako tako odluči slijedom zahtjeva jednog ili više nadzornih tijela;

(f) promiče zajedničke programe izobrazbe i olakšava razmjenu osoblja među nadzornim tijelima te po potrebi s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(f) promiče zajedničke programe izobrazbe i olakšava razmjenu osoblja među nadzornim tijelima te po potrebi s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(g) promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi na području zaštite podataka s nadzornim tijelima za zaštitu podataka u svijetu.

(g) promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi na području zaštite podataka s nadzornim tijelima za zaštitu podataka u svijetu.

 

(ga) daje mišljenje Komisiji prilikom pripreme delegiranih i provedbenih akata koji se temelje na ovoj Uredbi;

 

 

(gb) daje mišljenje o kodeksima ponašanja sastavljenima ta razini Unije u skladu s člankom 38. stavku 4.;

 

(gc) daje mišljenje o kriterijima i preduvjetima za mehanizame certificiranja za zaštitu podataka u skladu s člankom 39. stavkom 3.;

 

(gd) voditi javnu elektroničku evidenciju o važećim i nevažećim cerifikatima u skladu s člankom 39. stavkom 1.h;

 

 

(ge) osigurati pomoć nacionalnim nadzornim tijelima na njihov zahtjev;

 

(gf) uspostaviti i objaviti popis postupaka obrade za koje je potrebno prethodno savjetovanje u skladu s člankom 34.;

 

(gg) voditi evidenciju sankcija koju su nadzornicima i obrađivačima nametnula nadležna nadzorna tijela;

2. Ako Komisija zatraži savjet od Europskog odbora za zaštitu podataka, može zadati vremenski rok u kojem Europski odbor za zaštitu podataka mora pružiti traženi savjet, uzimajući u obzir žurnost slučaja.

2. Ako Europski parlament, Vijeće ili Komisija zatraže savjet od Europskog odbora za zaštitu podataka, može zadati vremenski rok u kojem Europski odbor za zaštitu podataka mora pružiti traženi savjet, uzimajući u obzir žurnost slučaja.

3. Europski odbor za zaštitu podataka prosljeđuje Komisiji i odboru iz članka 87. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.

3. Europski odbor za zaštitu podataka prosljeđuje Europskom parlamentu, Vijeću, Komisiji i odboru iz članka 87. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.

4. Komisija obavještava Europski odbor za zaštitu podataka o mjerama koje je poduzela na temelju mišljenja, smjernica, preporuka i primjera najbolje prakse koje je dao Europski odbor za zaštitu podataka.

4. Komisija obavještava Europski odbor za zaštitu podataka o mjerama koje je poduzela na temelju mišljenja, smjernica, preporuka i primjera najbolje prakse koje je dao Europski odbor za zaštitu podataka.

 

4a. Europski odbor za zaštitu podataka po potrebi se savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare; Ne dovodeći u pitanje članak 72. Europski odbor za zaštitu podataka objavljuje rezultate postupka savjetovanja.

 

4b. Europski odbor za zaštitu podataka zadužen je, u skladu sa stavkom 1. točkom (b), za izdavanje smjernica, preporuka i primjera najbolje prakse za uspostavu zajedničkih postupaka za dobivanje i ispitivanje informacija u vezi s navodnim nezakonitim obradama i za osiguranje povjerljivosti dobivenih informacija i njihovih izvora;

Amandman  176

Prijedlog Uredbe

Članak 67. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Europski odbor za zaštitu podataka redovito i pravovremeno obavještava Komisiju o rezultatima svojih aktivnosti. Sastavlja godišnji izvještaj o stanju na području zaštite fizičkih osoba pri obradi osobnih podataka u Uniji i trećim zemljama.

Izvještaj sadrži pregled primjene smjernica, preporuka i primjera najbolje prakse iz točke (c) članka 66. stavka 1.

1. Europski odbor za zaštitu podataka redovito i pravovremeno obavještava Europski parlament, Vijeće i Komisiju o rezultatima svojih aktivnosti. Najmanje svake dvije godine sastavlja izvještaj o stanju na području zaštite fizičkih osoba pri obradi osobnih podataka u Uniji i trećim zemljama.

Izvještaj sadrži pregled primjene smjernica, preporuka i primjera najbolje prakse iz točke (c) članka 66. stavka 1.

Amandman  177

Prijedlog Uredbe

Članak 68. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Europski odbor za zaštitu podataka donosi odluke većinom glasova svojih članova.

1. Ako nije drugačije predviđeno njegovim poslovnikom, Europski odbor za zaštitu podataka donosi odluke većinom glasova svojih članova.

Amandman  178

Prijedlog Uredbe

Članak 69. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Europski odbor za zaštitu podataka iz kruga svojih članova bira predsjednika i dva zamjenika predsjednika. Jedan je zamjenik predsjednika Europski nadzornik za zaštitu podataka, osim ako nije izabran za predsjednika.

1. Europski odbor za zaštitu podataka iz kruga svojih članova bira predsjednika i najmanje dva zamjenika predsjednika.

Amandman  179

Prijedlog Uredbe

Članak 69. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a. Dužnost predsjednika obnaša se u radnom odnosu s punim radnim vremenom.

Amandman  180

Prijedlog Uredbe

Članak 71. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Tajništvo pod vodstvom predsjednika pruža analitičku, administrativnu i logističku podršku Europskom odboru za zaštitu podataka.

2. Tajništvo pod vodstvom predsjednika pruža analitičku, pravnu, administrativnu i logističku podršku Europskom odboru za zaštitu podataka.

Amandman  181

Prijedlog Uredbe

Članak 72. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Rasprave Europskog odbora za zaštitu podataka povjerljive su.

1. Ako nije drugačije predviđeno njegovim poslovnikom, rasprave Europskog odbora za zaštitu podataka po potrebi mogu biti povjerljive. Dnevni redovi sastanaka Europskog odbora za zaštitu objavljuju se.

Amandman  182

Prijedlog Uredbe

Članak 73.

Tekst koji je predložila Komisija

Izmjena

Pravo žalbe nadzornom tijelu

Pravo žalbe nadzornom tijelu

1. Ne dovodeći u pitanje pravne lijekove u upravnom ili sudskom postupku, svaka osoba čiji se podaci obrađuju ima pravo na žalbu nadzornom tijelu u bilo kojoj državi članici ako smatra da obrada osobnih podataka koji se na nju odnose nije u skladu s ovom Uredbom.

1. Ne dovodeći u pitanje pravne lijekove u upravnom ili sudskom postupku ni mehanizam usklađivanja, svaka osoba čiji se podaci obrađuju ima pravo na žalbu nadzornom tijelu u bilo kojoj državi članici ako smatra da obrada osobnih podataka koji se na nju odnose nije u skladu s ovom Uredbom.

2. Svako tijelo, organizacija ili udruga s ciljem zaštite prava i interesa osobe čiji se podaci obrađuju povezanih sa zaštitom njihovih osobnih podataka, osnovani u skladu sa zakonodavstvom države članice, ima pravo na žalbu nadzornom tijelu u bilo kojoj državi članici u ime jedne osobe čiji se podaci obrađuju ili više njih ako smatra da su prava osobe čiji se podaci obrađuju navedena u ovoj Uredbi povrijeđena uslijed obrade osobnih podataka.

2. Svako tijelo, organizacija ili udruga koji djeluju u javnom interesu, osnovani u skladu sa zakonodavstvom države članice, imaju pravo na žalbu nadzornom tijelu u bilo kojoj državi članici u ime jedne osobe čiji se podaci obrađuju ili više njih ako smatra da su prava osobe čiji se podaci obrađuju navedena u ovoj Uredbi povrijeđena uslijed obrade osobnih podataka.

3. Neovisno o žalbi osobe čiji se podaci obrađuju svako tijelo, organizacija ili udruga iz stavka 2. ima pravo na žalbu nadzornom tijelu u bilo kojoj državi članici ako smatra da je došlo do povrede osobnih podataka.

3. Neovisno o žalbi osobe čiji se podaci obrađuju svako tijelo, organizacija ili udruga iz stavka 2. ima pravo na žalbu nadzornom tijelu u bilo kojoj državi članici ako smatra da je došlo do povrede ove Uredbe.

Amandman  183

Prijedlog Uredbe

Članak 74.

Tekst koji je predložila Komisija

Izmjena

Pravo na pravni lijek protiv nadzornog tijela

Pravo na pravni lijek protiv nadzornog tijela

1. Svaka fizička ili pravna osoba ima pravo na pravni lijek protiv odluka nadzornog tijela koje se na njih odnose.

1. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka fizička ili pravna osoba ima pravo na pravni lijek protiv odluka nadzornog tijela koje se na njih odnose.

2. Svaka osoba čiji se podaci obrađuju ima pravo na pravni lijek koji od nadzornog tijela zahtijeva odgovor na žalbu ako ne postoji odluka potrebna da bi se zaštitila njezina prava ili ako nadzorno tijelo osobu čiji se podaci obrađuju u roku od tri mjeseca ne obavijesti o tijeku ili ishodu žalbe u skladu s točkom (b) članka 52. stavka 1.

2. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka osoba čiji se podaci obrađuju ima pravo na pravni lijek koji od nadzornog tijela zahtijeva odgovor na žalbu ako ne postoji odluka potrebna da bi se zaštitila njezina prava ili ako nadzorno tijelo osobu čiji se podaci obrađuju u roku od tri mjeseca ne obavijesti o tijeku ili ishodu žalbe u skladu s točkom (b) članka 52. stavka 1.

3. Za postupke protiv nadzornog tijela nadležni su sudovi države članice u kojoj nadzorno tijelo ima nastan.

3. Za postupke protiv nadzornog tijela nadležni su sudovi države članice u kojoj nadzorno tijelo ima nastan.

4. Osoba čiji se podaci obrađuju i na koju se odnosi odluka nadzornog tijela u državi članici u kojoj ta osoba nema svoje uobičajeno boravište može od nadzornog tijela u državi članici u kojoj ima svoje uobičajeno boravište zatražiti da u njezino ime pokrene postupak protiv nadležnoga nadzornog tijela u drugoj državi članici.

4. Ne dovodeći u pitanje mahanizam za usklađivanje, osoba čiji se podaci obrađuju i na koju se odnosi odluka nadzornog tijela u državi članici u kojoj ta osoba nema svoje uobičajeno boravište može od nadzornog tijela u državi članici u kojoj ima svoje uobičajeno boravište zatražiti da u njezino ime pokrene postupak protiv nadležnoga nadzornog tijela u drugoj državi članici.

5. Države članice provode konačne odluke sudova iz ovog članka.

5. Države članice provode konačne odluke sudova iz ovog članka.

Amandman  184

Prijedlog Uredbe

Članak 75. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Za postupke protiv nadzornika ili obrađivača nadležni su sudovi države članice u kojoj nadzornik ili obrađivač ima nastan. Alternativno su za takve postupke nadležni sudovi države članice u kojoj osoba čiji se podaci obrađuju ima uobičajeno boravište, osim ako je nadzornik javno tijelo koje izvršava svoje javne ovlasti.

2. Za postupke protiv nadzornika ili obrađivača nadležni su sudovi države članice u kojoj nadzornik ili obrađivač ima nastan. Alternativno su za takve postupke nadležni sudovi države članice u kojoj osoba čiji se podaci obrađuju ima uobičajeno boravište, osim ako je nadzornik javno tijelo Unije ili države članice koje izvršava svoje javne ovlasti.

Amandman  185

Prijedlog Uredbe

Članak 76. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Svako tijelo, organizacija ili udruga iz članka 73. stavka 2. ima pravo na ostvarivanje prava iz članaka 74. i 75. u ime jedne osobe čiji se podaci obrađuju ili u ime više njih.

1. Svako tijelo, organizacija ili udruga iz članka 73. stavka 2. ima pravo na ostvarivanje prava iz članaka 74., 75. i 77. ako ih je ovlastila osoba čiji se podaci obrađuju ili više njih.

Amandman  186

Prijedlog Uredbe

Članak 77. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Svaka osoba koja je pretrpjela štetu zbog nezakonitog postupka obrade ili zbog djelovanja nespojivog s ovom Uredbom ima pravo na odštetu od nadzornika ili obrađivača za štetu koja joj je nanesena.

1. Svaka osoba koja je pretrpjela štetu, uključujući nematerijalnu štetu, zbog nezakonitog postupka obrade ili zbog djelovanja nespojivog s ovom Uredbom ima pravo zatražiti odštetu od nadzornika ili obrađivača za štetu koja joj je nanesena.

Amandman  187

Prijedlog Uredbe

Članak 77. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Ako je u obradu uključeno više nadzornika ili obrađivača, svaki je nadzornik ili obrađivač zajednički i pojedinačno odgovoran za ukupan iznos štete.

2. Ako je u obradu uključeno više nadzornika ili obrađivača, svaki taj nadzornik ili obrađivač zajednički je i pojedinačno odgovoran za ukupan iznos štete, osim ako između njih u skladu s člankom 24. ne postoji pisani sporazum kojim se utvrđuju odgovornosti.

Amandman  188

Prijedlog Uredbe

Članak 79.

Tekst koji je predložila Komisija

Izmjena

Upravne sankcije

Upravne sankcije

Svako nadzorno tijelo ovlašteno je za izricanje upravnih sankcija u skladu s ovim člankom.

1. Svako nadzorno tijelo ovlašteno je za izricanje upravnih sankcija u skladu s ovim člankom. Nadzorna tijela međusobno surađuju u skladu s člankom 46. i 57. kako bi zajamčila usklađenu razinu sankcija u Uniji.

2. Upravna sankcija mora u svakom pojedinačnom slučaju biti učinkovita, proporcionalna i odvraćajuća. Iznos upravne kazne određuje se s obzirom na prirodu, težinu i trajanje kršenja, namjeran ili nehotičan karakter kršenja, stupanj odgovornosti fizičke ili pravne osobe i njezine ranije prekršaje, tehničke i organizacijske mjere i postupke provedene u skladu s člankom 23., te stupanj suradnje s nadzornim tijelom kako bi se uklonilo kršenje.

2. Upravna sankcija mora u svakom pojedinačnom slučaju biti učinkovita, proporcionalna i odvraćajuća.

 

2a. Svima koji ne pridržavaju obveza utvrđnih ovom Uredbom, nadležno tijelo izriče najmanje jednu od navedenih sankcija:

 

(a) pismenu opomenu u slučaju prvog i nenamjernog nepridržavanja;

 

(b) revizije zaštite podataka u redovnim vremenskim intervalima;

 

(c) novčanu kaznu u iznosu od 100 000 000 EUR ili do 5 % ukupnoga godišnjeg prometa ako je riječ o poduzeću, ovisno o tome koji je od dvaju iznosa veći.

 

2b. Ako nadzornik ili proizvođač posjeduje „europski pečat za zaštitu podataka” u skladu s člankom 39. stavkom 2.a točkom (c) kazna se izriče samo u slučaju namjernog ili nehotičnog nepridržavanja.

 

Pri izricanju upravnih sankcija u obzir se uzimaju sljedeći čimbenici:

 

 

(a) priroda, ozbiljnost i trajanje nepridržavanja,

 

(b) namjeran ili nehotičan karakter kršenja;

 

(c) stupanj odgovornosti fizičke ili pravne osobe i prethodna kršenja koja je osoba počinila;

 

(d) ponavljajuću prirodu kršenja;

 

(e) stupanj suradnje sa nadzronim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci toga kršenja;

 

(f) posebne kategorije osobnih podataka na koje kršenje utječe;

 

(g) razinu štete, uključujući nematerijalnu štetu, koja je nanesena osobama čiji se podaci obrađuju;

 

(h) mjere koje je poduzeo nadzorenik ili obrađivač za ublažavanje štete nanesene osobama čiji se podaci obrađuju;

 

(i) svaka financijska korist, planirana ili ostvarena ili izbjegnuti gubici, u izravnoj ili neizravnoj vezi s kršenjem;

 

(j) obujam tehničkih ili organizacijskih mjera i postupaka provedenih u skladu s:

 

i.člankom 23. – Tehnička i integrirana zaštita podataka

 

ii. člankom 30. – Sigurnost obrade podataka

 

iii. člankom 33. – Procjena učinka zaštite podataka

 

iv. člankom 33.a – Provjera sukladnosti sa zaštitom podataka

 

v. člankom 35. – Imenovanje službenika za zaštitu podataka

 

(k) odbijanje suradnje ili ometanje inspekcija, revizija i nadzora koje provodi nadležno tijelo u skladu s člankom 53.

 

(l) ostali otegotni ili olakotni čimbenici koji se odnose na okolnosti slučaja.

3. U slučaju prve i nenamjerne neusklađenosti s ovom Uredbom, umjesto sankcije može se izreći pismena opomena ako:

 

(a) fizička osoba obrađuje osobne podatke bez komercijalnog interesa; ili

 

(b) poduzeće ili organizacija koja zapošljava manje od 250 osoba obrađuje osobne podatke samo kao sporednu aktivnost uz svoje glavne aktivnosti.

 

4. Nadzorno tijelo izriče novčanu kaznu do 250.000 EUR odnosno ako je riječ o poduzeću do 0,5 % njegovoga ukupnoga godišnjeg prometa svakome tko namjerno ili nehotice:

 

(a) ne osigura mehanizme za zahtjeve osobe čiji se podaci obrađuju ili osobi čiji se podaci obrađuju ne odgovori odmah ili u zatraženom obliku u skladu s člankom 12. stavkom 1. i 2.;

 

(b) naplati pristojbu za informacije ili odgovore na zahtjeve osoba čiji se podaci obrađuju kršeći pritom članak 12. stavak 4.

 

5. Nadzorno tijelo izriče novčanu kaznu do 500 000 EUR odnosno ako je riječ o poduzeću do 1 % njegovoga ukupnoga godišnjeg prometa svakome tko namjerno ili nehotice:

 

(a) osobi čiji se podaci obrađuju ne osigura informacije ili ne osigura potpune informacije ili ne osigura informacije na dovoljno transparentan način u skladu s člankom 11., člankom 12. stavkom 3. i člankom 14.;

 

(b) osobi čiji se podaci obrađuju ne osigura pristup ili ne ispravi osobne podatke u skladu s člancima 15. i 16. ili primatelju ne proslijedi relevantne informacije u skladu s člankom 13.;

 

(c) ne poštuje pravo na zaborav ili brisanje podataka ili ne uspostavlja mehanizme kojima bi se osiguralo poštovanje rokova ili ne poduzima sve potrebne korake kako se bi treće strane obavijestilo da osoba čiji se podaci obrađuju zahtijeva da se izbrišu sve poveznice ili kopije ili replike osobnih podataka u skladu s člankom 17.;

 

(d) ne osigurava kopije osobnih podataka u elektroničkom obliku ili osobu čiji se podaci obrađuju sprečava u prijenosu osobnih podataka u drugu aplikaciju kršeći pritom članak 18.;

 

(e) ne definira odgovarajuće odgovornosti s drugim nadzornicima u skladu s člankom 24. ili to ne čini u dovoljnoj mjeri;

 

(f) ne vodi dokumentaciju u skladu s člankom 28., člankom 31. stavkom 4. i člankom 44. stavkom 3. ili to ne čini u dovoljnoj mjeri;

 

(g) u slučajevima u kojima se ne radi o posebnim vrstama podataka ne poštuje pravila o slobodi izražavanja ili pravila o obradi u okviru zapošljavanja ili uvjete za obradu koja ima povijesnu, statističku i znanstvenoistraživačku svrhu u skladu s člancima 80., 82. i 83.

 

6. Nadzorno tijelo izriče novčanu kaznu do 1 000 000 EUR odnosno ako je riječ o poduzeću do 2 % njegovoga ukupnoga godišnjeg prometa svakome tko namjerno ili nehotice:

 

(a) obrađuje osobne podatke bez pravne osnove ili bez dovoljne pravne osnove za obradu ili ne ispunjava uvjete za suglasnost u skladu s člancima 6., 7. i 8.;

 

(b) obrađuje posebne vrste podataka kršeći pritom članke 9. i 81.;

 

(c) ne poštuje prigovor ili zahtjeve u skladu s člankom 19.;

 

(d) ne ispunjava uvjete u vezi s mjerama koje se temelje na profiliranju u skladu s člankom 20.;

 

(e) ne usvaja interne strategije ili ne provodi prikladne mjere za osiguranje i dokazivanje sukladnosti u skladu s člancima 22., 23. i 30.;

 

(f) ne imenuje predstavnika u skladu s člankom 25.;

 

(g) obrađuje osobne podatke ili daje upute za njihovu obradu kršeći pritom obveze u vezi s obradom u ime nadzornika u skladu s člancima 26. i 27.;

 

(h) nadzorno tijelo ili osobu čiji se podaci obrađuju ne upozori na povredu podataka ili ih o tome ne obavijesti u skladu s člancima 31. i 32. odnosno ta obavijest nije pravovremena ili potpuna;

 

(i) ne provodi procjene učinka zaštite podataka ili obrađuje osobne podatke bez prethodnog odobrenja ili prethodnog savjetovanja s nadzornim tijelom u skladu s člancima 33. i 34.;

 

(j) ne imenuje službenika za zaštitu podataka ili ne osigurava uvjete za ispunjavanje zadaća u skladu s člancima 35., 36. i 37,;

 

(k) zloupotrijebi pečat ili oznaku za zaštitu podataka u smislu članka 39.;

 

(l) provodi ili naredi prijenos podataka u treću zemlju ili međunarodnu organizaciju koji se ne temelji na odluci o odgovarajućoj razini zaštite ili odgovarajućim mjerama zaštite ili odstupajući od članaka 40. do 44.;

 

(m) ne poštuje nalog ili privremenu ili konačnu zabranu obrade ili prekid protoka podataka od strane nadzornog tijela u skladu s člankom 53. stavkom 1.;

 

(n) ne ispunjava obaveze koje se odnose na pomoć ili odgovor ili osiguravanje relevantnih informacija ili odobrenja za pristup u prostorije nadzornome tijelu u skladu s člankom 28. stavkom 3., člankom 29., člankom 34. stavkom 6. i člankom 53. stavkom 2.;

 

(o) ne poštuje pravila o čuvanju profesionalne tajne u skladu s člankom 84.

 

7. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu ažuriranja iznosa upravnih kazni iz stavaka 4., 5. i 6., uzimajući u obzir mjerila iz stavka 2.

7. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu ažuriranja apsolutnih iznosa upravnih kazni iz stavaka 2.a, uzimajući u obzir mjerila i čimbenike iz stavaka 2 i 2.c.

Amandman  189

Prijedlog Uredbe

Članak 80. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. Države članice predviđaju izuzeća i odstupanja od odredbi o općim načelima iz poglavlja II., o pravima osoba čiji se podaci obrađuju iz poglavlja III., o nadzorniku i obrađivaču iz poglavlja IV., o prijenosu osobnih podataka u treće zemlje i međunarodne organizacije iz poglavlja V., o neovisnim nadzornim tijelima iz poglavlja VI. te o suradnji i usklađenosti iz poglavlja VII. za obradu osobnih podataka koja se provodi isključivo u svrhe novinarstva ili umjetničkog ili književnog izražavanja kako bi se pravo na zaštitu osobnih podataka uskladilo s pravilima koja uređuju pravo na slobodu izražavanja.

1. Države članice predviđaju izuzeća i odstupanja od odredbi o općim načelima iz poglavlja II., o pravima osoba čiji se podaci obrađuju iz poglavlja III., o nadzorniku i obrađivaču iz poglavlja IV., o prijenosu osobnih podataka u treće zemlje i međunarodne organizacije iz poglavlja V., o neovisnim nadzornim tijelima iz poglavlja VI., o suradnji i usklađenosti iz poglavlja VII. za obradu osobnih podataka i posebnim slučajevima obrade podataka iz poglavlja IX. kad god je to potrebno kako bi se pravo na zaštitu osobnih podataka uskladilo s pravilima koja uređuju pravo na slobodu izražavanja u skladu s Poveljom Europske unije o temeljnim pravima.

Amandman  190

Prijedlog Uredbe

Članak 80.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 80a

 

Pristup dokumentima

 

1. Osobne podatke u dokumentima koje posjeduje javna ustanova ili javno tijelo ta ustanova ili to tijelo mogu otkriti u skladu sa zakonodavstvom Unije ili države članice o javnom pristupu službenim dokumentima koje usklađuje pravo na zaštitu osobnih podataka s pravom javnog pristupa službenim dokumentima.

 

2. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavkom 1. te, bez odgode, o svim daljnjim izmjenama tih odredbi.

Amandman  191

Prijedlog Uredbe

Članak 81.

Tekst koji je predložila Komisija

Izmjena

Obrada osobnih podataka o zdravstvenom stanju

Obrada osobnih podataka o zdravstvenom stanju

1. U skladu s ovom Uredbom i točkom (h) članka 9. stavka 2. obrada osobnih podataka o zdravstvenom stanju mora se provoditi na temelju zakonodavstva Unije ili zakonodavstva države članice kojim se osiguravaju prikladne i posebne mjere za očuvanje legitimnih interesa osobe čiji se podaci obrađuju te mora biti potrebna:

1. U skladu s pravilima utvrđenima ovom Uredbom, a posebno točkom (h) članka 9. stavka 2. obrada osobnih podataka o zdravstvenom stanju mora se provoditi na temelju zakonodavstva Unije ili zakonodavstva države članice kojim se osiguravaju prikladne, dosljedne i posebne mjere za očuvanje interesa i temeljnih prava osobe čiji se podaci obrađuju, u mjeri u kojoj su potrebne i razmjerne i na način da ih osoba čiji se podaci obrađuju može predvidjeti:

(a) za namjene preventivne medicine ili medicine rada, medicinske dijagnoze, osiguranje njege ili liječenja ili upravljanje zdravstvenim službama i kad te podatke obrađuje zdravstveni djelatnik koji podliježe obvezi profesionalne tajne ili druga osoba za koju također vrijedi istovrsna odredba o povjerljivosti na temelju zakonodavstva države članice ili pravila koja su uspostavila nadležna nacionalna tijela; ili

(a) za namjene preventivne medicine ili medicine rada, medicinske dijagnoze, osiguranje njege ili liječenja ili upravljanje zdravstvenim službama i kad te podatke obrađuje zdravstveni djelatnik koji podliježe obvezi profesionalne tajne ili druga osoba za koju također vrijedi istovrsna odredba o povjerljivosti na temelju zakonodavstva države članice ili pravila koja su uspostavila nadležna nacionalna tijela; ili

(b) zbog javnog interesa na području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih opasnosti za zdravlje ili osiguravanje visokih standarda kvalitete i sigurnosti, između ostalog lijekova i medicinskih proizvoda; ili

(b) zbog javnog interesa na području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih opasnosti za zdravlje ili osiguravanje visokih standarda kvalitete i sigurnosti, između ostalog lijekova i medicinskih proizvoda, ako podatke obrađuje osoba koja podliježe obvezi povjerljivosti; ili

(c) zbog drugih razloga od javnog interesa kao što je socijalna zaštita, posebno kako bi se osigurale kvaliteta i isplativost postupaka koji se koriste za rješavanje zahtjeva za ostvarenje pogodnosti i usluga iz sustava zdravstvenog osiguranja.

(c) zbog drugih razloga od javnog interesa kao što je socijalna zaštita, posebno kako bi se osigurale kvaliteta i isplativost postupaka koji se koriste za rješavanje zahtjeva za ostvarenje pogodnosti i usluga iz sustava zdravstvenog osiguranja, kao i za pružanje zdravstvenih usluga. Ta obrada podataka o zdravstvenom stanju zbog javnog interesa ne smije dovesti do toga da se podatke obrađuje u druge svrhe, osim uz suglasnost osoba čiji se podaci obrađuju na temelju zakonodavstva Unije ili države čalnice.

 

1a. Ako se namjene iz stavka 1. točaka (a) do (c) mogu ostvariti bez uporabe osobnih podataka, onda se osobni podaci ne koriste za njihovo ostvarivanje, osim na temelju suglasnosti osobe čiji se podaci obrađuju ili na temelju prava države članice.

 

1b. Ako je za obradu medicinskih podataka isključivo u svrhu javnog zdravlja ili znanstvenog istraživanja potrebna suglasnost osobe čije se podaci obrađuju, se može dati za jedno ili za više posebnih i sličnih istraživanja. Međutim, osoba čiji se podaci obrađuju može povući svoju suglasnot u svakom trenutku.

 

1c. U svrhu suglasnosti za sudjelovanje u znanstvenoistraživačkim aktivnostima u okviru kliničkih ispitivanja, primjenjuju se odgovarajuće odredbe Direktive 2001/20/EZ Europskog parlament i Vijeća.

2. Obrada osobnih podataka o zdravstvenom stanju nužnu u svrhu povijesnog, statističkog ili znanstvenog istraživanja, kao što su evidencije pacijenata uvedene radi poboljšanja dijagnoza i razlikovanja sličnih vrsta bolesti te pripremanja studija za terapije, podliježe uvjetima i mjerama zaštite iz članka 83.

2. Obrada podataka o zdravstvenom stanju nužnu u svrhu povijesnog, statističkog ili znanstvenog istraživanja, dopuštena je samo uz suglasnost osobe čiji se podaci obrađuju i podliježe uvjetima i mjerama zaštite iz članka 83.

 

2a. U pravu države članice mogu biti predviđene iznimke od zahtjeva za suglasnost za sudjelovanje u istraživanju, kao što je utvrđeno u stavku 2., ako je to istraživanje od većeg javnog interesa te ako ga se drugačije ne može provesti. U tom su slučaju podaci anonimizirani, odnosno, ako to nije moguće, pseudonimizirani u skladu s najvišim tehničkim standardima te se poduzimaju sve potrebne mjere za sprečavanje neovlaštene ponovne identifikacije osoba čiji se podaci obrađuju. Međutim, osobe čiji se podaci obrađuju u svakom trenutuku imaju pravo prigovora u skladu s člankom 19.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja drugih razloga od javnog interesa na području javnog zdravlja, kako je navedeno u točki (b) stavka 1., te kriterije i preduvjete za mjere zaštite za obradu osobnih podataka u svrhe iz stavka 1.

3. Komisija je ovlaštena donositi, nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja javnog interesa na području javnog zdravlja, kako je navedeno u točki (b) stavka 1., i velikog javnog ineteresa na području istraživanja, kako je navedeno u čstavku 2.a.

 

3a. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavkom 1. te, bez odgode, o svim daljnjim izmjenama tih odredbi.

 

1 Direktiva 2001/20/EZ Europskog parlamenta i Vijeća od 4. travnja 2001. o usklađivanju zakonodavstava i drugih propisa država članica koji se odnose na primjenu dobre kliničke prakse pri provođenju kliničkih ispitivanja lijekova za ljudsku uporabu (SL L 121, 1.5.2001., str. 34.).

Amandman  192

Prijedlog Uredbe

Članak 82.

Tekst koji je predložila Komisija

Izmjena

Obrada pri zapošljavanju

Minimalni standardi obrade podataka pri zapošljavanju

1. U skladu s ovom Uredbom države članice mogu zakonom propisati posebna pravila kojima se uređuje obrada osobnih podataka zaposlenika pri zapošljavanju, naročito u svrhu zaposlenja, izvršavanja ugovora o zaposlenju, uključujući ispunjenje obaveza utvrđenih zakonom ili kolektivnim ugovorima, upravljanja, planiranja i organizacije rada, zdravlja i sigurnosti na poslu, u svrhu individualnog ili kolektivnog ostvarivanja i uživanja prava i pogodnosti u vezi sa zaposlenjem te u svrhu prekida radnog odnosa.

1. Države članice mogu, u skladu s pravilima utvrđenima ovom Uredbom i uzimajući u obzir načelo proporcionalnosti, zakonskim sredstvima propisati posebna pravila kojima se uređuje obrada osobnih podataka zaposlenika pri zapošljavanju, naročito, ali ne i isključivo u svrhu zaposlenja, prijava za posao u okviru skupina poduzeća, izvršavanja ugovora o zaposlenju, uključujući ispunjenje obaveza utvrđenih zakonom i kolektivnim ugovorima, u skladu s nacionalnim pravom i praksom, upravljanja, planiranja i organizacije radma, zdravlja i sigurnosti na poslu, u svrhu individualnog ili kolektivnog ostvarivanja i uživanja prava i pogodnosti u vezi sa zaposlenjem te u svrhu prekida radnog odnosa. Države članice mogu dopustiti da se u kolektivnim ugovorima podrobnije odrede odredbe utvrđene ovim člankom.

 

1a. Svrha obrade takvih podataka mora biti povezana s razlogom zbog kojeg su ti podaci prikupljeni te mora ostati u okviru konteksta zapošljavanja. Profiliranje ili korištenje u sekundarne svrhe nije dopušteno.

 

1b. Ako nije dobrovljna, suglasnost zaposlenika ne pruža pravnu osnovu poslodavcu za obradu njegovih podataka.

 

1c. Bez obzira na ostale odredbe ove Uredbe, pravni propisi država članica iz stavka 1. uključuju namjanje sljedeće minimalne standarde:

 

 

(a) obrada podataka o zaposlenicima bez njihova znanja nije dopuštena. Bez obzira na prvu rečenicu, države članice po zakonu mogu dopustiti spomenutu praksu određujući primjerene rokove za brisanje podataka, pod uvjetom da postoji sumnja zasnovana na dokumentiranim konkretnim dokazima o tome da je zaposlenik počinio zločin ili je grubo prekršio svoju zaposleničku dužnost, kao i da je prikupljanje podataka potrebno za razjašnjavanje pitanja te da su priroda i opseg toga prikupljanja potrebni i proporcionalni u odnosu na svrhu prikupljanja. Privatnost i osobni životi zaposlenika u svakom trenutku moraju biti zaštićeni. Istrage provodi nadležno tijelo;

 

(b) otvoreni nadzor optičko-elektroničkim i/ili akustično-elektroničkim uređajima zabranjen je u dijelovima poduzeća kojima javnost ne može pristupiti i koje u prvom redu koriste zaposlenici za svoje privatne aktivnosti, a tu se posebice ubrajaju kupaonice, garderobe i prostorije za odmor i spavanje. Tajni nadzor nije dopušten ni pod kojim uvjetima;

 

(c) ako poduzeća ili tijela prikupljaju i obrađuju osobne podatke u kontekstu medicinskih pregleda i/ili testova sposobnosti, dužna su kandidatu za radno mjesto ili zaposleniku unaprijed objasniti namjenu tih podataka te osigurati da im se ti podaci na kraju dostave zajedno s rezultatima, a na zahtjev i objašnjenjem. Prikupljanje podataka u svrhu genetičkih testiranja i analiza načelno je zabranjeno.

 

(d) Kolektivnim ugovorom može se odrediti mogu li se, i u kojoj mjeri, telefon, elektronička pošta, internet i ostale telekomunikacijske usluge koristiti u privatne svrhe. Ondje gdje to nije određeno kolektivnim ugovorom, poslodavac se dogovara izravno sa zaposlenikom. Ako je korištenje u privatne svrhe dopušteno, obrada pri tome nastalih prikupljenih podataka dopuštena je u prvom redu kako bi se osigurala sigurnost podataka, pravilno funkcioniranje telekomunikacijskih mreža i usluga te u svrhe naplate.

 

Bez obzira na treću rečenicu, države članice po zakonu mogu dopustiti spomenutu praksu određujući primjerene rokove za brisanje podataka, pod uvjetom da postoji sumnja zasnovana na dokumentiranim konkretnim dokazima o tome da je zaposlenik počinio zločin ili je grubo prekršio svoju zaposleničku dužnost, kao i da je prikupljanje podataka potrebno za razjašnjavanje pitanja te da su priroda i opseg toga prikupljanja potrebni i proporcionalni u odnosu na svrhu prikupljanja. Privatnost i osobni životi zaposlenika u svakom trenutku moraju biti zaštićeni. Istrage provodi nadležno tijelo;

 

(e) osobni podaci zaposlenika, posebno osjetljivi podaci poput političke orijentacije te članstva i aktivnosti u sindikatu, ni u kome se slučaju ne smiju koristiti kako bi se zaposlenika stavilo na tzv. crnu listu, provjeravalo ili sprečavalo u dobivanju posla u budućnosti. Obrada, korištenje u vezi sa zapošljavanjem, sastavljanje i prosljeđivanje crnih lista zaposlenika ili ostali oblici diskriminacije zabranjeni su. Države članice provode provjere i izriču odgovarajuće sankcije u skladu s člankom 79. stavkom 6. u cilju osiguravanja učinkovite provedbe ove točke.

 

1d. Prosljeđivanje i obrada osobnih podataka zaposlenika između pravno nezavisnih poduzeća koja pripadaju istoj grupi poduzeća i uz sudjelovanje stručnjaka koji osiguravaju pravno i porezno savjetovanje dopušteni su, pod uvjetom da je to važno za poslovanje te namijenjeno provedbi specifičnih operacija ili upravnih postupaka, odnosno, ako nije u suprotnosti s interesima i temeljnim pravima osobe o čijim je podacima riječ, koje treba zaštititi. Ako se podaci o zaposlenicima prosljeđuju trećoj zemlji i/ili međunarodnoj organizaciju, primjenjuje se poglavlje V.

2. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavkom 1. te, bez odgode, o svim daljnjim izmjenama tih odredbi.

2. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavcima 1. i 1.b te, bez odgode, o svim daljnjim izmjenama tih odredbi.

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za mjere zaštite za obradu osobnih podataka u svrhe iz stavka 1.

3. Komisija je ovlaštena, nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za mjere zaštite za obradu osobnih podataka u svrhe iz stavka 1.

Amandman  193

Prijedlog Uredbe

Članak 82.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 82a

 

Obrada u kontekstu socijalne sigurnosti

 

1. Države članice mogu u skladu s pravilima utvrđenima ovom Uredbom usvojiti posebne zakonske propise u kojima se navode uvjeti obrade osobnih podataka kojih se moraju pridržavati javne institucije i odjeli u kontekstu socijalne sigurnosti, ako se obrada obavlja u javnom intersu.

 

2. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavkom 1. te, bez odgode, o svim daljnjim izmjenama tih odredbi.

Amandman  194

Prijedlog Uredbe

Članak 83.

Tekst koji je predložila Komisija

Izmjena

Obrada u svrhe povijesnog, statističkog i znanstvenog istraživanja

Obrada u svrhe povijesnog, statističkog i znanstvenog istraživanja

1. U skladu s ovom Uredbom osobni podaci mogu se obrađivati u svrhe povijesnog, statističkog i znanstvenog istraživanja samo ako:

1. U skladu s pravilima utvrđenima ovom Uredbom osobni podaci mogu se obrađivati u svrhe povijesnog, statističkog i znanstvenog istraživanja samo ako:

(a) te svrhe nije moguće ispuniti drugačije obradom podataka koja ne omogućuje ili više ne omogućuje identifikaciju osobe čiji se podaci obrađuju;

(a) te svrhe nije moguće ispuniti drugačije obradom podataka koja ne omogućuje ili više ne omogućuje identifikaciju osobe čiji se podaci obrađuju;

(b) se podaci koji omogućuju povezivanje informacija s identificiranom osobom čiji se podaci obrađuju ili osobom čiji se podaci obrađuju, a koju je moguće identificirati, čuvaju odvojeno od drugih informacija dok god se te svrhe mogu ispuniti na taj način.

(b) se podaci koji omogućuju povezivanje informacija s identificiranom osobom čiji se podaci obrađuju ili osobom čiji se podaci obrađuju, a koju je moguće identificirati, čuvaju se odvojeno od drugih informacija u skladu s najvišim tehničkim standardima, pri čemu se poduzimaju sve potrebne mjere kako bi se spriječila neovlaštena ponovna identifikacija osoba čiji se podaci obrađuju.

2. Tijela koja provode povijesna, statistička ili znanstvena istraživanja mogu objaviti osobne podatke ili ih na neki drugi način javno otkriti samo ako:

 

(a) je osoba čiji se podaci obrađuju dala suglasnost u skladu s uvjetima utvrđenim u članku 7.;

 

(b) je objavljivanje osobnih podataka potrebno radi predstavljanja rezultata istraživanja ili radi lakšeg istraživanja ako interesi i temeljna prava ili temeljne slobode osobe čiji se podaci obrađuju ne nadvladavaju te interese; ili

 

(c) je osoba čiji se podaci obrađuju objavila podatke.

 

3. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 86. u svrhu dodatnog određivanja kriterija i preduvjeta za obradu osobnih podataka u svrhe iz stavaka 1. i 2. kao i potrebna ograničenja prava na informacije i prava na pristup osobe čiji se podaci obrađuju te u svrhu podrobnijih uvjeta i mjera zaštite za prava osobe čiji se podaci obrađuju u tim okolnostima.

 

Amandman    195

Prijedlog Uredbe

Članak 83.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 83a

 

Obrada osobnih podatka u arhivskim službama

 

1. Kada je početna obrada uzbog koje su podaci prikupljeni završena, osobni podaci mogu se obrađivati u arhivskim službama, čija je glavna zadaća ili obveza prikupljati, pohranjivati i pružati informacije, koristiti i širiti arhivu u javnom interesu, posebno u cilju potvrđivanja prava pojedinca ili u povijesne, statističke ili znanstvene svrhe. Te se zadaće provode u skladu s pravilima o pristupu, puštanju u opticaj i širenju upravnih dokumenata i arhivske građe koja su odredile države članice te u skladu s pravilima utvrđenima ovom Uredbom, posebice u pogledu davanja suglasnosti te prava na prigovor.

 

2. Svaka država članica najkasnije do datuma određenog u članku 91. stavku 2. obavještava Komisiju o odredbama koje usvaja u skladu sa stavkom 1. te, bez odgode, o svim daljnjim izmjenama tih odredbi.

Amandman  196

Prijedlog Uredbe

Članak 84. – stavak 1.

Tekst koji je predložila Komisija

Izmjena

1. U skladu s ovom Uredbom države članice mogu zakonom propisati posebna pravila kojima se određuju istražne ovlasti nadzornih tijela iz članka 53. stavka 2. u vezi s nadzornicima ili obrađivačima koji podliježu nacionalnom zakonodavstvu ili pravila koja nadležna nacionalna tijela propisuju za obvezu čuvanja profesionalne tajne ili drugu istovrsnu obvezu kada je to potrebno i razmjerno radi usklađivanja prava na zaštitu osobnih podataka s obvezom čuvanja profesionalne tajne. Ta se pravila primjenjuju samo s obzirom na osobne podatke koje je nadzornik ili obrađivač primio ili dobio u okviru djelatnosti pokrivene ovom obvezom čuvanja tajne.

1. U skladu s pravilima propisanima ovom Uredbom države članice osiguravaju uspostavu posebnih pravila kojima se određuju istražne ovlasti nadzornih tijela iz članka 53. stavka 2. u vezi s nadzornicima ili obrađivačima koji podliježu nacionalnom zakonodavstvu ili pravila koja nadležna nacionalna tijela propisuju za obvezu čuvanja profesionalne tajne ili drugu istovrsnu obvezu kada je to potrebno i razmjerno radi usklađivanja prava na zaštitu osobnih podataka s obvezom čuvanja profesionalne tajne

Amandman  197

Prijedlog Uredbe

Članak 85.

Tekst koji je predložila Komisija

Izmjena

Postojeća pravila o zaštiti podataka crkava i vjerskih udruga

Postojeća pravila o zaštiti podataka crkava i vjerskih udruga

1. Ako u državi članici u trenutku stupanja na snagu ove Uredbe crkve i vjerske udruge ili zajednice primjenjuju sveobuhvatna pravila u vezi sa zaštitom pojedinaca pri obradi osobnih podataka, ta se pravila mogu i dalje primjenjivati ako su usklađena s odredbama ove Uredbe.

1. Ako u državi članici u trenutku stupanja na snagu ove Uredbe crkve i vjerske udruge ili zajednice primjenjuju odgovarajuća pravila u vezi sa zaštitom pojedinaca pri obradi osobnih podataka, ta se pravila mogu i dalje primjenjivati ako su usklađena s odredbama ove Uredbe.

2. Crkve i vjerske udruge koje primjenjuju sveobuhvatna pravila u skladu sa stavkom 1. osiguravaju uspostavu neovisnoga nadzornog tijela u skladu s poglavljem VI. ove Uredbe.

2. Crkve i vjerske udruge koje primjenjuju odgovarajuća pravila u skladu sa stavkom 1. moraju, u skladu s člankom 38., dobiti mišljenje o sukladnosti.

Amandman  198

Prijedlog Uredbe

Članak 85.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 85a

 

Poštovanje temeljnih prava

 

Ovom se Uredbom ne mijenja obveza poštovanja temeljnih prava i temeljnih pravnih načela sadržanih u članku 6. UEU-a.

Amandman  199

Prijedlog Uredbe

Članak 85.b (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 85b

 

Standardni obrasci

 

1. Uzimajući u obzir posebne odlike i potrebe različitih sektora i situacije obrade, Komisija može odrediti standardne obrasce za:

 

(a) pojedine metode stjecanja provjerljive suglasnosti navedene u članku 8. stavku 1.,

 

(b) obavještavanje iz članka 12. stavka 2., uključujući u elektroničkom obliku,

 

(c) pružanje informacija iz članka 14. stavaka 1. do 3.,

 

(d) zahtjeva za pristup informacijama i njegovo odobravanje iz članka 15. stavka 1., uključujući i za obavještavanje osobe čiji se podaci obrađuju o osobnim podacima;

 

(e) dokumentaciju iz članka 28. stavka 1.,

 

(f) obavještavanje nadzornog tijela o povredi osobnih podataka u skladu s člankom 31. i za dokumentaciju iz članka 34. stavka 2.,

 

(g) prethodna savjetovanja iz članka 34. i za obavještavanje nadzornih tijela u skladu s člankom 34. stavkom 6.

 

2. U skladu s tim Komisija će poduzeti potrebne mjere za mikro, mala i srednja poduzeća.

 

3. Ti provedbeni akti usvajaju se u skladu s postupkom provjere navedenim u članku 87. stavku 2.

Amandman  200

Prijedlog Uredbe

Članak 86. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Delegiranje ovlasti navedeno u članku 6. stavku 5., članku 8. stavku 3., članku 9. stavku 3., članku 12. stavku 5., članku 14. stavku 7., članku 15. stavku 3., članku 17. stavku 9., članku 20. stavku 5., članku 22. stavku 4., članku 23. stavku 3., članku 26. stavku 5., članku 28. stavku 5., članku 30. stavku 3., članku 31. stavku 5., članku 32. stavku 5., članku 33. stavku 5., članku 34. stavku 8., članku 35. stavku 11., članku 37. stavku 2., članku 39. stavku 2., članku 43. stavku 3., članku 44. stavku 7., članku 79. stavku 7., članku 81. stavku 3., članku 82. stavku 3. i članku 83. stavku 3. prenosi se na Komisiju na neodređeno vrijeme od dana stupanja ove Uredbe na snagu.

2. Ovlast donošenja delegiranih akata iz članka 13.a stavka 5., članka 17. stavka 9., članka 38. stavka 4., članka 39. stavka 2., članka 41. stavka 3., članka 41. stavka 5., članka 43. stavka 3., članka 79. stavka 7., članka 81. stavka 3. i članka 82. stavka 3. prenosi se na Komisiju na neodređeno vrijeme od dana stupanja ove Uredbe na snagu.

Amandman  201

Prijedlog Uredbe

Članak 86. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti navedeno u članku 6. stavku 5., članku 8. stavku 3., članku 9. stavku 3., članku 12. stavku 5., članku 14. stavku 7., članku 15. stavku 3., članku 17. stavku 9., članku 20. stavku 5., članku 22. stavku 4., članku 23. stavku 3., članku 26. stavku 5., članku 28. stavku 5., članku 30. stavku 3., članku 31. stavku 5., članku 32. stavku 5., članku 33. stavku 5., članku 34. stavku 8., članku 35. stavku 11., članku 37. stavku 2., članku 39. stavku 2., članku 43. stavku 3., članku 44. stavku 7., članku 79. stavku 7., članku 81. stavku 3., članku 82. stavku 3. i članku 83. stavku 3. Odlukom o opozivu prestaje delegiranje ovlasti navedene u toj odluci. Odluka proizvodi učinke dan nakon njezine objave u Službenom listu Europske unije ili na kasniji datum koji je u njoj naveden. Odluka ne utječe na valjanost delegiranih akata koji su već na snazi.

3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti navedeno u članku 13.a stavku 5., članku 17. stavku 9., članku 38. stavku 4., članku 39. stavku 2., članku 41. stavku 3., članku 41. stavku 5., članku 43. stavku 3., članku 79. stavku 7., članku 81. stavku 3. i članku 82. stavku 3. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Odluka proizvodi pravne učinke na dan nakon njezine objave u Službenom listu Europske unije ili na kasniji datum koji je u njoj naveden. Odluka ne utječe na valjanost delegiranih akata koji su već na snazi.

Amandman  202

Prijedlog Uredbe

Članak 86. – stavak 5.

Tekst koji je predložila Komisija

Izmjena

5. Delegiranje ovlasti iz članka 6. stavka 5., članka 8. stavka 3., članka 9. stavka 3., članka 12. stavka 5., članka 14. stavka 7., članka 15. stavka 3., članka 17. stavka 9., članka 20. stavka 5., članka 22. stavka 4., članka 23. stavka 3., članka 26. stavka 5., članka 28. stavka 5., članka 30. stavka 3., članka 31. stavka 5., članka 32. stavka 5., članka 33. stavka 5., članka 34. stavka 8., članka 35. stavka 11., članka 37. stavka 2., članka 39. stavka 2., članka 43. stavka 3., članka 44. stavka 7., članka 79. stavka 7., članka 81. stavka 3., članka 82. stavka 3. i članka 83. stavka 3. stupa na snagu samo ako ni Europski parlament ni Vijeće ne izraze nikakav prigovor u roku od dva mjeseca nakon što su obaviješteni o tom aktu ili ako prije isteka tog roka Europski parlament i Vijeće obavijeste Komisiju da neće uložiti prigovor. Navedeni rok produžuje se za dva mjeseca na zahtjev Europskog parlamenta ili Vijeća.

5. Delegirani akt donesen na temelju članka 13.a stavka 5., članka 17. stavaka 9., članka 38. stavka 4., članka 39. stavka 2., članka 41. stavka 3., članka 41. stavka 5., članka 43. stavka 3., članka 44. stavka 7., članka 79. stavka 7., članka 81. stavka 3. i članka 82. stavka 3. stupa na snagu samo ako Europski parlament ili Vijeće u roku od šest mjeseci od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne ulože nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće uložiti prigovore. Taj se rok produljuje za šest mjeseci na inicijativu Europskog parlamenta ili Vijeća.

Amandman  203

Prijedlog Uredbe

Članak 87. – stavak 3.

Tekst koji je predložila Komisija

Izmjena

3. Kod upućivanja na ovaj stavak primjenjuje se članak 8. Uredbe (EU) br. 182/2011 u vezi s njezinim člankom 5.

Briše se.

Amandman  204

Prijedlog Uredbe

Članak 89. – stavak 2.

Tekst koji je predložila Komisija

Izmjena

2. Članak 1. stavak 2. Direktive 2002/58/EZ briše se.

2. Članak 1. stavak 2.,članci 4. i 15. Direktive 2002/58/EZ brišu se.

Amandman  205

Prijedlog Uredbe

Članak 89. – stavak 2.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

2a. Komisija bez odlaganja i najksanije do datuma iz članka 91. stavka 2. predstavlja prijedlog revizije pravnog okvira za obradu osobnih podataka i zaštitu privatnosti u elektroničkoj komunikaciji kako bi uskladila pravne propise s ovom Uredbom i osigurala dosljedne i ujednačene pravne odredbe koje se odnose na temeljno pravo na zaštitu osobnih podataka u Europskoj uniji.

Amandman  206

Prijedlog Uredbe

Članak 89.a (novi)

Tekst koji je predložila Komisija

Izmjena

 

Članak 89a

 

Odnos prema Uredbi (EZ) br. 45/2001 i izmjena te Uredbe

 

1. Pravila utvrđena ovom Uredbom primjenjuju se na obradu osobnih podataka u institucijama, tijelima, uredima i agencijama Unije, koji se odnose na pitanja u čijem se slučaju ne primjenjuju dodatna pravila utvrđena Uredbom (EZ) br. 45/2001.

 

2. Komisija bez odgode i najkasnije do datuma navedenog u članku 91. stavku 2. predstavlja prijedlog revizije pravnog okvira koji se primjenjuje za obradu osobnih podataka u institucijama, tijelima, uredima i agencijama Unije.

Prilog 1. – Prikaz informacija iz članka 13.a (novi)

1) Uzimajući u obzir proporcije navedene u članku 6., informacije se navode na sljedeći način:

2) Sljedeće riječi u recima drugog stupca tablice pod točkom 1., pod nazivom „OSNOVNE INFORMACIJE”, napisane su kao podebljani tekst:

(a) riječ „prikupljaju“ u prvom retku drugog stupca;

(b) riječ „zadržavaju“ u drugom retku drugog stupca;

(c) riječ „obrađuju“ u trećem retku drugog stupca;

(d) riječ „šire“ u četvrtom retku drugog stupca;

(e) riječi „prodaju se niti se iznajmljuju” u petom retku drugog stupca;

(f) riječ „nekodiranom“ u šestom retku drugog stupca.

3) Uzimajući u obzir proporcije navedene u članku 6., reci u trećem stupcu tablice pod točkom 1. pod nazivom „ISPUNJENO“, nadopunjuju se jednim od sljedećih grafičkih oblika u skladu s uvjetima utvrđenima u točki 4.:

(a)

(b)

4)

(a) Ako se ne prikupi više od minimuma osobnih podataka nužanog za svaku posebnu svrhu obrade, prvi redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(b) Ako se prikupi više od minimuma osobnih podataka nužnog za svaku posebnu svrhu obrade, prvi redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

(c) Ako se ne zadrži više od minimuma osobnih podataka nužnog za svaku posebnu svrhu obrade, drugi redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(d) Ako se zadrži više od minimuma osobnih podataka nužnog za svaku posebnu svrhu obrade, drugi redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

(e) Ako se osobni podaci ne obrađuju u svrhe različite od onih u koje su prikupljeni, treći redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(f) Ako se osobni podaci obrađuju u svrhe različite od onih u koje su prikupljeni, treći redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

(g) Ako se osobni podaci ne šire komercijalnim trećim stranama, četvrti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(h) Ako se osobni podaci šire komercijalnim trećim stranama, četvrti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

(i) Ako se osobni podaci ne prodaju niti se iznajmljuju, peti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(j) Ako se osobni podaci prodaju ili se iznajmljuju, peti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

(k) Ako se osobni podaci ne zadržavaju u nekodiranom obliku, šesti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (a).

(l) Ako se osobni podaci zadržavaju u nekodiranom obliku, šesti redak trećeg stupca tablice pod točkom 1. sadrži grafički oblik iz točke 3. pod (b).

5) Referentne boje grafičkih oblika u točki 1. u skali boja Pantone su crna Pantone br. 7547 i crvena Pantone br. 485. Referentna boja grafičkog oblika u točki 3. pod (a) je zelena Pantone br. 370. Referentna boja grafičkih oblika u točki 3. pod (b) je crvena Pantone br. 485.

6) Proporcije u sljedećem crtežu moraju se poštovati, čak i kada je format tablice smanjen ili povećan:

(1)

SL C 229, 31.7.2012., str. 90.


EXPLANATORY STATEMENT

Introduction

In accordance with Article 8 of the EU Charter the right to personal data protection:

1.        Everyone has the right to the protection of personal data concerning him or her.

2.        Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified

3.        Compliance with these rules shall be subject to control by an independent authority.

Since the adoption of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data a lot has changed in the area of data protection, notably technological developments, increased collection and processing of personal data, including for law enforcement purposes, with a patchwork of applicable data protection rules and globalization of markets and cooperation.

Furthermore the Directive has failed to achieve a proper harmonisation due to the different implementation of its provisions in the Member States. In this context it has become increasingly difficult for individuals (‘data subjects’) to exercise their right to data protection.

Finally it has hampered the development of the single market with companies (controlling or processing personal data, ‘data controllers’) and individuals facing differences in data protection requirements.

Since the entry into force of the Lisbon Treaty, the Union has an explicit legal basis for data protection covering processing of personal data in the public and private sector but also in the context of law enforcement (resulting from the collapse of the pre Lisbon “pillar structure”) (Article 16(2) TFEU) The Commission has now used Article 16(2) TFEU as legal basis to present proposals for a revision of the Union's data protection framework. It proposes a Regulation (COM (2012)11) that will replace Directive 95/46/EC (rapporteur: Jan Philipp Albrecht, Greens/EFA) and a Directive (COM(2012)10) that will replace Framework Decision 2008/977/JHA on the protection of personal data processed for the purpose of prevention, detection, investigation or prosecution of criminal offences (rapporteur: Dimitrios Droutsas, S_D). Both rapporteurs support the objective of establishing a fully coherent, harmonious and robust framework with a high level of protection for all data processing activities in the EU.(1) In order to achieve this objective the Commission proposals must be considered a single package requiring coordinated legislative approaches for both texts.

Extensive discussions have taken place on the data protection reform between the rapporteurs and the shadow rapporteurs, the draftspersons and shadows of the Committees for opinion (ITRE, IMCO, JURI, EMPL), the Council Presidency, the Commission and stakeholders (data protection authorities, national authorities, industry, civil rights and consumer organisations, academic experts) in order to ensure broad support for the Parliament's approach.

A stakeholder workshop was organised by the LIBE committee on 29 May 2012. The LIBE committee also held its annual Inter- Parliamentary Committee Meeting (IPCM) together with national parliaments in the area of freedom, security and justice on the data protection reform package on 9 and 10 October 2012. Four Working Documents were produced on the data protection reform package.

Position on the draft Data Protection Regulation

The Commission’s proposal is based on the following aims:

-A comprehensive approach to data protection;

-Strengthening individual’s rights;

-Further advancing the internal market dimension and ensuring better enforcement of data protection rules; and

- Strengthening the global dimension

The rapporteur supports these ambitions. His approach is presented accordingly

A comprehensive approach to data protection

As indicated it the Working Document of 6 July 2012(2), the rapporteur welcomes the fact that the Commission has chosen to replace Directive 95/46 with a (directly applicable) Regulation; since this should reduce the fragmented approach to data protection among Member States.

He also agrees with the pragmatic approach chosen by the Commission in leaving room, in accordance with the Regulation, to the Member States to maintain or adopt specific rules regarding issues such as freedom of expression, professional secrecy, health and employment (Articles 81-85). Particular reference is made to work of the Employment and Social Affairs Committee, which is to deliver an opinion on Article 82.(3)

EU institutions are not within the scope of the new Regulation. However, they should be covered to ensure a consistent and uniform framework throughout the Union. This will require an adjustment of EU legal instruments, particularly Regulation (EC) No 45/2001, to bring them fully in line with the general Data Protection Regulation before the latter will be applied. The rapporteur also sees a need for a more horizontal debate on how to address the current patchwork of data protection rules for different EU Agencies (such as Europol and Eurojust) and ensure consistency with the data protection package (Article 2(b), Article 89a).

The rapporteur strongly regrets that the Commission’s proposal does not cover law enforcement cooperation (on which the separate Directive is proposed). This leaves legal uncertainty as regards rights and obligation in borderline issues, for instance where commercial data is accessed by law enforcement authorities for law enforcement purposes and transfers between authorities that are responsible for law enforcement and those that are not. The report on the proposed Directive addresses these issues and proposes amendments. The Regulation specifies that the exclusion from the scope of the Regulation only covers competent public authorities for law enforcement activities (not private entities) and that the applicable legislation should provide adequate safeguards based on the principles of necessity and proportionality (Articles 2(e), 21).

The territorial scope of the Regulation is an important issue for the consistent application of EU data protection law. The rapporteur wishes to clarify that the Regulation should also be applicable to a controller not established in the Union when processing activities are aimed at the offering of goods or services to data subjects in the Union, irrespective of whether payment for these goods or services is required, or the monitoring of such data subjects (Article 3(2)).

The Regulation needs to be comprehensive also in terms of providing legal certainty. The extensive use of delegated and implementing acts runs counter to this goal. Therefore the rapporteur proposes the deletion of a number of provisions conferring on the Commission the power to adopt delegated acts. However, in order to provide legal certainty where possible, the rapporteur has replaced several acts with more detailed wording in the Regulation (eg.: Articles 6(1b), 15, 35(10)). In other instances, the rapporteur proposes to entrust the European Data Protection Board (EDPB) with the task of further specifying the criteria and requirements of a particular provision instead granting the Commission the power to adopt a delegated act. The reason is that in those cases the matter relates to cooperation between national supervisors and they are better placed to determine the principles and practices to be applied (e.g.: Articles 23(3), 30(3), 42(3), 44(7), 55(10)).

Strengthening individuals' rights

As the Regulation implements a fundamental right, a limitation of the material scope, particularly as regards the definition of “personal data”, by for instance introducing subjective elements relating to the efforts the data controller should make to identify personal data is rejected. The concept of personal data is further clarified with objective criteria (Article 4(1); Recitals 23 and 24). Legitimate concerns regarding specific business models can be addressed without denying individuals their fundamental rights. In this context the rapporteur encourages the pseudonymous and anonymous use of services. For the use of pseudonymous data, there could be alleviations with regard to obligations for the data controller (Articles 4(2)(a), 10), Recital 23).

Consent should remain a cornerstone of the EU approach to data protection, since this is the best way for individuals to control data processing activities. Information to data subjects should be presented in easily comprehensible form, such as by standardised logos or icons (Article 11(2a),(2b)). Technical standards that express a subject’s clear wishes may be seen as a valid form of providing explicit consent (Articles 7(2a), 23).

In order to ensure an informed consent to profiling activities, these need to be defined and regulated (Articles 4(3b), 14(1)(g), (ga) and (gb), 15(1), 20). Other legal grounds for processing than consent, particularly the “legitimate interests” of the data controller, should be clearly defined (amendment replacing Article 6(1)(f) by a new Article 6(1a), (1b), (1c)).

Purpose limitation is a core element of data protection, as it protects the data subjects from an unforeseeable extension of data processing. A change of purpose of personal data after its collection should not be possible only on the basis of a legitimate interest of the data controller. The rapporteur therefore proposes to delete Article 6(4) instead of widening it.

The rapporteur supports the strengthening of the right of access, with a right to data portability - being able to move one’s data from one platform to another In the digital age, data subjects, also in their role as consumers, can legitimately expect to receive their personal information in a commonly used electronic format (Article 15(2a)). Therefore he proposes to merge Articles 15 and 18.

The right to erasure and the right to rectification remain important for data subjects, as more and more information are disclosed which can have significant impacts. The “right to be forgotten” should be seen in this light; the amendments proposed clarify these rights for the digital environment, while maintaining the general exception for freedom of expression. In case of data transferred to third parties or published without a proper legal basis, the original data controller should be obliged to inform those third parties and ensure the erasure of the data. Where the individual has agreed to a publication of his or her data, however, a "right to be forgotten" is neither legitimate nor realistic (Article 17, Recital 54).

The right to object to further data processing should always be free of charge and it should be explicitly offered to the data subject by using a clear, plain and adapted language (Article 19(2)). There is also need to provide for better possibilities for effective redress, including by associations acting in the public interest (Articles 73, 76).

Further advancing the internal market dimension and ensuring better enforcement of data protection rules

The rapporteur welcomes the proposed shift from notification requirements to the Data Protection Authorities (DPAs) to practical accountability and corporate Data Protection Officers (DPOs). The proposed regulation can be simplified by merging information rights and documentation requirements essentially being two sides of the same coin. This will reduce administrative burdens for data controllers and make it easier for individuals to understand and exercise their rights (Articles 14, 28). In the age of cloud computing, the threshold for the mandatory designation of a data protection officer should not be based on the size of the enterprise, but rather on the relevance of data processing (category of personal data, type of processing activity, and the number of individuals whose data are processed) (Article 35). It is clarified that the DPO can be a part-time function, depending on the size of the enterprise and the amount of data processing (Recital 75).

Data protection by design and by default is applauded as a core innovation of the reform. This would ensure that only data that are necessary for a specific purpose will actually be processed. Producers and service providers are called to implement appropriate measures. The European Data Protection Board should be entrusted to provide further guidance (Article 23). The amendments on Privacy Impact Assessments aim at further determining the situations where this assessment should be conducted (Article 33(2)) and the elements to assess (Article 33(3)).

The rapporteur proposes to extend the period within which to notify a personal data breach to the supervisory authority from 24 to 72 hours. Furthermore, to prevent notification fatigue to data subjects, only cases where a data breach is likely to adversely affect the protection of the personal data or privacy of the data subject, for example in cases of identity theft or fraud, financial loss, physical harm, significant humiliation or damage to reputation, the data subject should be notified. The notification should also comprise a description of the nature of the personal data breach, and information regarding the rights, including possibilities regarding redress (Articles 31 and 32). For breach notifications, impact assessments, and the right to erasure and to be forgotten, it is proposed that the Commission adopts delegated acts prior to the date of application of the Regulation in order to ensure legal certainty (Article 86(5a)).

Codes of conduct as well as certification and seals are supported, but there is also need to provide for incentives for the establishment and use and clearer rules on the principles that they must contain and consequences with regard to lawfulness of data processing, liabilities, and related issues. Codes of Conduct declared by the Commission to be in line with the Regulation shall confer enforceable rights to data subjects. The certification seals must set out the formal procedure for the issuance and withdrawal of the seal and they must ensure compliance with data protection principles and data subject rights (Articles 38 and 39).

The Regulation should also ensure a unified working framework for all Data Protection Authorities (DPAs). In order to function, a crucial element is that DPAs, who must be completely independent, need to be sufficiently resourced for the effective performance of their tasks (Article 47). Cooperation between DPAs will also be strengthened in the context of a European Data Protection Board (EPDP, which will replace the current "Article 29 Working Party"). The rapporteur views the foreseen cooperation and consistency mechanism among national DPAs as a huge step towards a coherent application of data protection legislation across the EU. The model proposed by the Commission however does not ensure the necessary independence of DPAs. After having assessed different options, an alternative mechanism is proposed which maintains the idea of a lead DPA, but also relies on close cooperation between DPAs to ensure consistency (Articles 51, 55a). In substance, a DPA is competent to supervise processing operations within its territory or affecting data subjects resident in its territory. In the case of processing activities of a controller or processor established on more than one Member State or affecting data subjects in several Member States, the DPA of the main establishment will be the lead authority acting as single contact point for the controller or the processor (one-stop shop). The lead authority shall ensure coordination with involved authorities and consult the other authorities before adopting a measure. The EDPB shall designate the lead authority in cases it is unclear or the DPAs do not agree. Where a DPA involved in a case does not agree with the draft measure proposed by the lead authority, the EDPB shall issue an opinion. If the lead authority does not intend to follow this opinion, it shall inform the EDPB and provide a reasoned opinion. The EDPB may adopt a final decision, by a qualified majority, legally binding upon the supervisory authority. This decision can be subject to judicial review (Articles 45a, 55, 58). The Commission may also challenge this decision before the EU Court of Justice and request the suspension of the measure (Article 61a).

The rapporteur supports the strengthening of the DPAs as regards investigative powers and sanctions. The Commission’s proposal was however too prescriptive. He proposes a simplified regime which allows DPAs more discretion whilst at the same time entrusting the EDPD with the role of ensuring consistency in enforcement (Article 52, 53, 78, 79). The system of sanctions is also clarified by including several criteria that must be taking into account in order to determine the level of the fine that a DPA may impose.

Strengthening the global dimension

As hitherto, the Commission’s power to adopt decisions recognising the adequacy or the non-adequacy of a third country, a territory of a third country, and international organisations is maintained. The proposed new option of recognising sectors in third countries as adequate is rejected by the rapporteur, however, as it would increase legal uncertainty and undermine the Union's goal of a harmonised and coherent international data protection framework. The criteria for assessing the adequacy of a third country are strengthened (Article 41(2)). It is also proposed that the adequacy finding declared by the Commission is made by means of a delegated act instead an implementing act, so as to enable the Council and the Parliament to make use of their right of control (Article 41(3) and (5)).

In the absence of an adequacy decision, to provide adequate protections and safeguards, the controller or processor should take appropriate safeguards measures such as binding corporate rules, standard data protection clauses adopted by the Commission or by a supervisory authority. Amendment in Articles 41(1a) and 42 clarify and detail the essential safeguards that these instruments should contain.

A new article 43a is proposed to address the issue raised by access requests by public authorities or courts in third countries to personal data stored and processed in the EU. The transfer should only be granted by the data protection authority after verifying that the transfer complies with the Regulation and in particular with Article 44(1)(d) or (e). This situation will become even more important with the growth of cloud computing and needs to be addressed here.

Summary

The rapporteur supports the aim of strengthening the right to the protection of personal data, while ensuring a unified legal framework and reducing administrative burdens for data controllers. He proposes to limit the role of the Commission in the implementation to the minimum necessary, by clarifying essential elements in the text of the regulation itself and leaving practical implementation to the cooperation mechanism of data protection authorities. He proposes to emphasise further the use of technological measures for protecting personal data and ensuring compliance, combined with incentives for data controllers when using such measures. In line with the accountability approach, the role of corporate data protection officers is strengthened, while the need for prior consultation of the supervisory authorities is reduced. Union Institutions, bodies and agencies should be brought under the same regulatory framework in the mid-term. If these elements can be supported by Parliament, Council and Commission, the new legal framework for data protection will provide an improvement both for individuals and for data controllers, and will be future-proof for the coming years.

In the course of the extensive work together with the shadows of all political groups and the opinion draftpersons the rapporteur has worked out a large amount of amendments which reflect discussions between the involved colleagues. Especially on the principles, the legal grounds for processing personal data, the data subject rights, the provisions for controller and processor, the consistency mechanism and the sanctions several compromises are integrated in this report. The rapporteur expects his proposals to form a good basis for swift agreement in the European Parliament and negotations with the Council during the Irish presidency.

(1)

DT/905569EN.doc

(2)

DT/905569EN.doc

(3)

PA/918358EN.doc


OPINION of the Committee on Employment and Social Affairs (4.3.2013)

for the Committee on Civil Liberties, Justice and Home Affairs

on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Rapporteur: Nadja Hirsch

SHORT JUSTIFICATION

Your rapporteur specifically welcomes the present Regulation and its purpose which is to further harmonise data protection in the European Union (EU).

This aim of this opinion is as follows: it quite obvious that European employee data protection cannot be comprehensively regulated in one article. Your rapporteur's purpose is rather to lay down a number of markers. In the context of realising a genuine European labour and the single market, further consideration may subsequently be given to regulating employment data protection at European level. This would be possible on the basis of Article 288 TFEU.

Although a large volume of data processing in the EU relates to employment, little space in the Regulation is specifically devoted to employee data protection. Furthermore the level of abstraction of the Regulation often makes it difficult to interpret the rules in an employment context.

Your rapporteur takes the view that the best way of addressing the issues facing employee data protection in this Regulation is mainly to restrict the scope of the opinion to Article 82. This will allow an in-depth analysis of the content, besides grouping together the various articles in the Regulation which have a bearing on employee data protection.

Re 82 (1) and Recital 124

In its present stage, the present Regulation can only provide a minimum level of protection, particularly as regards employee data. Each Member State must continue to be able to set standards more favourable for workers than those provided for in the Regulation. Moreover, it must be possible to set such standards in collective agreements. The phrase 'within the limits of this Regulation' should be rejected for a number of reasons. Firstly, it is incompatible with the general tenor of Article 82 - which deals with exceptions - and could, in connection with the delegated acts proposed by the Commission in Article 82, result in an extremely complex situation. Secondly, as a worst case scenario, this could mean that Member States were unable to adopt more far-reaching rules. Finally, this formulation seems to have been arbitrarily chosen here, since other opening clauses, e.g. concerning the media, do not contain this restriction.

Re 82 (1b)

Since the Commission has not so far made any specific proposal relating to employee data protection, and bearing in mind the few substantive points relating to employee data protection in the regulation, a number of Europe-wide minimum protection standards must be established. The four sub-points should not be seen as an exhaustive list, but rather as the cornerstone of comprehensive European data protection legislation.

Re 82 (1c)

The data protection officer plays a role of paramount importance. It must therefore be made absolutely clear that he or she should be able to perform his or her duties without fear of pressure or external influence and for the benefit of employees. Special protection from dismissal and the prohibition of discrimination against his or her person are therefore appropriate.

Re 82 (1e) and Recital 124 a

The Commission proposal does not sufficiently specify the rules governing the transmission of data within a group of undertakings in the EU. This amendment is intended to rectify this omission, while protecting the interests of employees.

Re 82 (1f) and Recital 34

The complete exclusion of consent as a valid legal reason for the processing of personal data will not have the desired result in an employment context. Your rapporteur therefore proposes that even in situations where there is an imbalance between the parties, consent should be possible as a valid legal reason, where it is intended to have legally and financially advantageous effects for the employee.

Re 82 (3)

Delegated acts should, in your rapporteur's view, only be used where non-material elements of the existing Regulation need to be adapted rapidly and flexibly to technical and security innovations. Hitherto the Commission proposal's wording was too broad-based. Moreover, alongside paragraph 1, it should also be possible to continue to regulate the new paragraph 1c by legal acts.

Re 82 (3a)

This review clause allows a fresh evaluation.

AMENDMENTS

The Committee on Employment and Social Affairs calls on the Committee on Civil Liberties, Justice and Home Affairs, as the committee responsible, to incorporate the following amendments in its report:

Amendment  1

Proposal for a regulation

Recital 34

Text proposed by the Commission

Amendment

(34) Consent should not provide a valid legal ground for the processing of personal data, where there is a clear imbalance between the data subject and the controller. This is especially the case where the data subject is in a situation of dependence from the controller, among others, where personal data are processed by the employer of employees' personal data in the employment context. Where the controller is a public authority, there would be an imbalance only in the specific data processing operations where the public authority can impose an obligation by virtue of its relevant public powers and the consent cannot be deemed as freely given, taking into account the interest of the data subject.

(34) Consent should not provide a valid legal ground for the processing of personal data, where there is a clear imbalance of power between the data subject and the controller. This is especially the case where the data subject is in a situation of dependence from the controller, among others, where personal data are processed by the employer of employees' personal data in the employment context. In an employment context, data processing intended to have primarily legally or financially advantageous consequences for the employee is an exception. Where the controller is a public authority, there would be an imbalance only in the specific data processing operations where the public authority can impose an obligation by virtue of its relevant public powers and the consent cannot be deemed as freely given, taking into account the interest of the data subject.

Amendment  2

Proposal for a regulation

Recital 75

Text proposed by the Commission

Amendment

(75) Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by a large enterprise, or where its core activities, regardless of the size of the enterprise, involve processing operations which require regular and systematic monitoring, a person should assist the controller or processor to monitor internal compliance with this Regulation. Such data protection officers, whether or not an employee of the controller, should be in a position to perform their duties and tasks independently.

(75) Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by an enterprise, or where its core activities, regardless of the size of the enterprise, involve processing operations which require regular and systematic monitoring, a person should assist the controller or processor to monitor internal compliance with this Regulation. Such data protection officers, whether or not an employee of the controller, should be in a position to perform their duties and tasks independently. Processing should be carried out by a legal person and relate to more than 250 data subjects per year.

Amendment  3

Proposal for a regulation

Recital 124

Text proposed by the Commission

Amendment

(124) The general principles on the protection of individuals with regard to the processing of personal data should also be applicable to the employment context. Therefore, in order to regulate the processing of employees' personal data in the employment context, Member States should be able, within the limits of this Regulation, to adopt by law specific rules for the processing of personal data in the employment sector.

 

(124) The general principles on the protection of individuals with regard to the processing of personal data should also be applicable to the employment context. Member States should be able to regulate the processing of employees' personal data in the employment context in accordance with the rules and minimum standards set out in this Regulation. Where a statutory basis is provided in the Member State in question for the regulation of employment matters by agreement between employee representatives and the management of the undertaking or the controlling undertaking of a group of undertakings (collective agreement) or under Directive 2009/38/EC of the European Parliament and of the Council of 6 May 2009 on the establishment of a European Works Council or a procedure in Community-scale undertakings and Community-scale groups of undertakings for the purposes of informing and consulting employees1, the processing of personal data in an employment context may also be regulated by such an agreement; in this particular case there is the possibility for derogations and exceptions in accordance with national law and practices.

 

________________

 

1 OJ L 122, 16.5.2009, p. 28.

Amendment  4

Proposal for a regulation

Recital 124 a (new)

Text proposed by the Commission

Amendment

 

(124a) In order to safeguard business interests which are directly related to employment, the transmission and processing of employee data within groups of undertakings is permitted. This should not be affected by interests of the person concerned which are worthy of protection. Employee data includes all types of personal data of the person concerned which are directly related to employment. The rules laid down in Article 82(1e) take into account the widespread practice of processing employee data in groups of undertakings.

Amendment  5

Proposal for a regulation

Article 3 – paragraph 1 a (new)

Text proposed by the Commission

Amendment

 

1 a. This Regulation applies to the processing of personal data of data subjects not residing in the Union by a controller or processor established in the Union, through their economic activities in a third country(ies).

Amendment  6

Proposal for a regulation

Article 6 – paragraph 1 – point f

Text proposed by the Commission

Amendment

(f) processing is necessary for the purposes of the legitimate interests pursued by a controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks.

(f) processing is necessary for the purposes of the legitimate interests pursued by a controller, or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks.

Justification

In order for the collective bargaining system to function properly the unions must have the possibility to monitor the observance of collective agreements. Today this is carried out within the framework of Article 7 (f) of directive 95/46/EC. Article 7 (f) recognizes the legitimate interest of a third party to process personal data. The employer is mostly regarded as the controller and the labour union as the third party.

Amendment  7

Proposal for a regulation

Article 6 – paragraph 5

Text proposed by the Commission

Amendment

5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the conditions referred to in point (f) of paragraph 1 for various sectors and data processing situations, including as regards the processing of personal data related to a child.

deleted

Justification

Provisions on lawfulness of processing form the core of the rules on data protection. As provisions on delegated acts must be limited only to non-essential elements of the Regulation paragraph 5 should be deleted.

Amendment  8

Proposal for a regulation

Article 9 – paragraph 1

Text proposed by the Commission

Amendment

1. The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.

1. The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership and activities, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.

Amendment  9

Proposal for a regulation

Article 14 – paragraph 3

Text proposed by the Commission

Amendment

3. Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, from which source the personal data originate.

3. Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, from which source the personal data originate. This would include data sourced from a third party illegally and passed on to the controller.

Amendment  10

Proposal for a regulation

Article 17 – paragraph 6 a (new)

Text proposed by the Commission

Amendment

 

6 a. While complying with the data requirements of this Regulation, especially privacy by design, the provisions in paragraph 4 and 6 of this Article do not change the right of public authorities to store data for documentary evidence of a given case history.

Amendment  11

Proposal for a regulation

Article 28 – paragraph 4 – point b

Text proposed by the Commission

Amendment

(b) an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities.

(b) an enterprise or an organisation that is processing personal data only as an activity ancillary to its main activities.

Justification

The limit of 250 employee’s places employers in an unequal position, is discriminatory against larger enter-prises and is by no means necessary for reaching the aim. The number of employees doesn’t correlate with the amount or type of personal data kept by the organization. A small organization with just a few employees can control a huge amount of delegate personal data and vice versa. Furthermore, the limit is not in all aspects easily interpreted.

Amendment  12

Proposal for a regulation

Article 35 – paragraph 1 – introductory part

Text proposed by the Commission

Amendment

1. The controller and the processor shall designate a data protection officer in any case where:

1. The controller and the processor, after obtaining the consent of the workplace representation, shall designate a data protection officer in any case where:

Amendment  13

Proposal for a regulation

Article 35 – paragraph 1 – point a

Text proposed by the Commission

Amendment

(a) the processing is carried out by a public authority or body; or

(a) the processing is carried out by a public authority or body or on their behalf; or

Amendment  14

Proposal for a regulation

Article 35 – paragraph 1 – point b

Text proposed by the Commission

Amendment

(b) the processing is carried out by an enterprise employing 250 persons or more; or

(b) the processing is carried out by a legal person and relates to more than 250 data subjects per year; or

Amendment  15

Proposal for a regulation

Article 35 – paragraph 1 – point b a (new)

Text proposed by the Commission

Amendment

 

(b a) the data processed is of particularly sensitive nature e.g. medical; or

Amendment  16

Proposal for a regulation

Article 35 – paragraph 2

Text proposed by the Commission

Amendment

2. In the case referred to in point (b) of paragraph 1, a group of undertakings may appoint a single data protection officer.

2. A group of organizations referred to in point (a) and (b) of paragraph 1 may appoint a single data protection officer where this applies to a single jurisdiction.

Justification

Public authorities today act in the form of quasi-enterprises in many fields. The regulation should not prohibit the possibility to appoint a single data protection officer for a group consisting of both public and private sector entities.

Amendment  17

Proposal for a regulation

Article 82 – title

Text proposed by the Commission

Amendment

Processing in the employment context

Minimum standards for processing data in the employment context

Amendment  18

Proposal for a regulation

Article 82 – paragraph 1

Text proposed by the Commission

Amendment

1. Within the limits of this Regulation, Member States may adopt by law specific rules regulating the processing of employees' personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

1. Member States may, in accordance with the rules set out in this Regulation, and taking into account the principle of proportionality, adopt by legal provisions specific rules regulating the processing of employees' personal data in the employment context, in particular but not limited to the purposes of the recruitment and job applications within the group of undertakings, the performance of the contract of employment, including discharge of obligations laid down by law and by collective agreements, company agreements and collective agreements in accordance with national law and practice, management, planning and organisation of work, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship.

 

The level of protection afforded by this Regulation may not be undercut. Notwithstanding the previous sentence, where arrangements are made by agreement between employee representatives and the management of the undertaking or of the controlling undertaking of a group of undertakings the level of protection afforded by this Regulation may not be significantly undercut.

 

The right of Member States, or the social partners via collective agreements, to provide employees with more favourable protection provisions in respect of the processing of personal data in the employment context shall remain unaffected.

Amendment  19

Proposal for a regulation

Article 82 – paragraph 1 a (new)

Text proposed by the Commission

Amendment

 

1 a. The purpose of processing such data must be directly linked to the reason it was collected for and stay within the context of employment. Profiling or use for secondary purposes shall not be allowed.

Amendment  20

Proposal for a regulation

Article 82 – paragraph 1 b (new)

Text proposed by the Commission

Amendment

 

1b. Notwithstanding the other provisions of this Regulation, the legal provisions of Member States referred to in paragraph 1 shall include at least the following minimum standards:

 

(a) the processing of employee data without the employees' knowledge shall not be permitted. Notwithstanding sentence 1, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the nature and extent of this data collection are not disproportionate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority;

 

(b) the open optical-electronic and/or open acoustic-electronic monitoring of parts of an undertaking which are not accessible to the public and are used primarily by employees for private activities, especially in bathrooms, changing rooms, rest areas, and bedrooms, shall be prohibited. Clandestine surveillance shall be inadmissible under all circumstances;

 

(c) where undertakings or authorities collect and process personal data in the context of medical examinations and/or aptitude tests, they must explain to the applicant or employee beforehand the purpose for which these data are being used, and ensure that afterwards they are provided with these data together with the results, and that they receive an explanation of their significance on request. Data collection for the purpose of genetic testing and analyses shall be prohibited as a matter of principle;

 

(d) whether and to what extent the use of telephone, e-mail, internet and other telecommunications services shall also be permitted for private use may be regulated by collective agreement. Where there is no possibility of regulation by collective agreement, the employer shall reach an agreement on this matter directly with the employee. In so far as private use is permitted, the processing of this accumulated traffic data shall be permitted in particular to ensure data security, to ensure the proper operation of telecommunications networks and telecommunications services and for billing purposes. Notwithstanding sentence 3, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the nature and extent of this data collection are not disproportionate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority;

 

(e) workers’ personal data, especially sensitive data such as political orientation and membership of and activities in trade unions, may under no circumstances be used to put workers on so-called ‘blacklists’, and to vet or bar them from future employment. The processing, the use in the employment context, the drawing-up and passing-on of blacklists of employees shall be prohibited. Member States shall conduct checks and adopt adequate sanctions to ensure effective implementation of this point.

Amendment  21

Proposal for a regulation

Article 82 – paragraph 1 c (new)

Text proposed by the Commission

Amendment

 

1c. In addition to the provisions of Chapter IV, Section 4, the data protection officer shall enjoy special protection from dismissal in the performance of his/her duties and may not be the subject of discrimination. Authorities and companies shall also ensure that the data protection officer can carry out all activities independently in accordance with Article 36(2) and has access to training, whereby the corresponding costs will be borne by the controller and/or processor. If undertakings are located in more than one Member State, a data protection officer shall be easily accessible for all its workers in each of these Member States.

 

In addition to the provisions of Chapter IV, Section 4, the data protection officer shall be afforded due time to fulfil relevant duties, where they are in addition to their general tasks. National and European Works Councils shall be consulted in the appointment of the data protection officer and shall be afforded the continuous right of consultation with them.

Amendment  22

Proposal for a regulation

Article 82 – paragraph 1 d (new)

Text proposed by the Commission

Amendment

 

1d. Without prejudice to the information and codetermination rights guaranteed by national labour law, the workplace representation and the European Works Council shall enjoy the following rights:

 

(a) right to codetermination with regard to the appointment of the workplace data protection officer (Article 35 et seq.);

 

(b) right to be consulted and receive information from the workplace data protection officer on a regular basis;

 

(c) right to represent affected employees in a normal national court (Article 73) and possibility of bringing class actions (Article 75);

 

(d) right to codetermination with regard to the drawing-up of binding corporate rules (Article 43).

Amendment  23

Proposal for a regulation

Article 82 – paragraph 1 e (new)

Text proposed by the Commission

Amendment

 

1e. The transmission and processing of personal employee data between legally independent undertakings within a group of undertakings and with professionals providing legal and tax advice shall be permitted, providing it is relevant to the operation of the business and is used for the conduct of specific operations or administrative procedures and is not contrary to the interests of the person concerned which are worthy of protection. Where employee data are transmitted to a third country and/or to an international organization, Chapter V shall apply.

Amendment  24

Proposal for a regulation

Article 82 – paragraph 1 f (new)

Text proposed by the Commission

Amendment

 

1f. Article 7, paragraph 4, shall not apply where the data processing is intended to have legally or economically advantageous consequences for the employee.

Amendment  25

Proposal for a regulation

Article 82 – paragraph 2

Text proposed by the Commission

Amendment

2. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

2. Each Member State shall notify to the Commission those legal provisions which it adopts pursuant to paragraphs 1 and 1b, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Amendment  26

Proposal for a regulation

Article 82 – paragraph 3

Text proposed by the Commission

Amendment

3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph 1.

3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 exclusively for the purpose of further specifying the criteria and requirements for ensuring the latest technical and security standards for the processing of personal data with respect to the purposes referred to in paragraphs 1 and 1e. Account shall be taken of the costs and benefits of implementation, the risks represented by the processing and the corresponding need to protect the data.

Amendment  27

Proposal for a regulation

Article 82 – paragraph 3 a (new)

Text proposed by the Commission

Amendment

 

3a. On a proposal from the Commission, the European Parliament and the Council shall review Article 82 no later than 2 years after the date referred to in Article 91, paragraph 2. They shall reach a decision on this proposal under the procedure laid down in Article 294 of the Treaty on the Functioning of the European Union.

PROCEDURE

Title

Protection of individuals with regard to the processing of personal data, and the free movement of such data (General Data Protection Regulation)

References

COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)

Committee responsible

       Date announced in plenary

LIBE

16.2.2012

 

 

 

Opinion by

       Date announced in plenary