Postopek : 2012/0011(COD)
Potek postopka na zasedanju
Potek postopka za dokument : A7-0402/2013

Predložena besedila :

A7-0402/2013

Razprave :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Glasovanja :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Sprejeta besedila :

P7_TA(2014)0212

POROČILO     ***I
PDF 3198kWORD 4771k
22. november 2013
PE 501.927v05-00 A7-0402/2013

o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Odbor za državljanske svoboščine, pravosodje in notranje zadeve

Poročevalec: Jan Philipp Albrecht

PRED. SPREM.
OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA
 OBRAZLOŽITEV
 MNENJE Odbora za zaposlovanje in socialne zadeve
 MNENJE Odbora za industrijo, raziskave in energetiko
 MNENJE Odbora za notranji trg in varstvo potrošnikov
 MNENJE Odbora za pravne zadeve
 POSTOPEK

OSNUTEK ZAKONODAJNE RESOLUCIJE EVROPSKEGA PARLAMENTA

o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Redni zakonodajni postopek: prva obravnava)

Evropski parlament,

–   ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2012)0011),

–   ob upoštevanju členov 294(2), 16(2) in 114(1) Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija Parlamentu podala predlog (C7–0025/2012),

–   ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,

–   ob upoštevanju obrazloženih mnenj, ki so jih v okviru Protokola (št. 2) o uporabi načel subsidiarnosti in sorazmernosti predložili belgijska predstavniška zbornica, nemški bundesrat, francoski senat, italijanska poslanska zbornica in švedski parlament, v katerih zatrjujejo, da osnutek zakonodajnega predloga ni v skladu z načelom subsidiarnosti,

–   ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora z dne 23. maja 2012(1),

–   po posvetovanju z Odborom regij,

–   ob upoštevanju mnenja Evropskega nadzornika za varstvo podatkov z dne 7. marca 2012,

–   ob upoštevanju mnenja Agencije Evropske unije za temeljne pravice z dne 1. oktobra 2012,

–   ob upoštevanju člena 55 Poslovnika,

–   ob upoštevanju poročila Odbora za državljanske svoboščine, pravosodje in notranje zadeve ter mnenj Odbora za zaposlovanje in socialne zadeve, Odbora za industrijo, raziskave in energetiko, Odbora za notranji trg in varstvo potrošnikov in Odbora za pravne zadeve (A7-0402/2013),

1.  sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;

2.  poziva Komisijo, naj zadevo ponovno predloži Parlamentu, če namerava svoj predlog bistveno spremeniti ali ga nadomestiti z drugim besedilom;

3.  naroči svojemu predsedniku, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.

Predlog spremembe  1

Predlog uredbe

Uvodna izjava 14

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(14) Ta uredba ne obravnava vprašanj varstva temeljnih pravic in svoboščin ali prostega pretoka podatkov, povezanih z dejavnostmi, ki ne sodijo na področje uporabe prava Unije, prav tako pa ne zajema obdelave osebnih podatkov s strani institucij, organov, uradov in agencij Unije, za katere se uporablja Uredba (ES) št. 45/200144, ali obdelave osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije.

(14) Ta uredba ne obravnava vprašanj varstva temeljnih pravic in svoboščin ali prostega pretoka podatkov, povezanih z dejavnostmi, ki ne sodijo na področje uporabe prava Unije. Uredbo (ES) št 45/2001 Evropskega parlamenta in Sveta1 bi bilo treba uskladiti s to uredbo in jo v skladu z njo tudi izvrševati.

____________

______________

44 UL L 8, 12.1.2001, str. 1.

1 Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

Predlog spremembe  2

Predlog uredbe

Uvodna izjava 15

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(15) Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov s strani fizične osebe, ki so izključno osebni ali domači, kot sta korespondenca in seznam naslovov, in brez pridobitnega interesa ter s tem brez kakršne koli povezave s poklicno ali komercialno dejavnostjo. Ta izjema se prav tako ne bi smela uporabljati za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

(15) Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov s strani fizične osebe, ki so izključno osebni, povezani z družino ali domači, kot sta korespondenca in seznam naslovov ali zasebna prodaja, in brez kakršne koli povezave s poklicno ali komercialno dejavnostjo. Vendar bi se morala ta uredba uporabljati za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

Predlog spremembe  3

Predlog uredbe

Uvodna izjava 18

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(18) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe.

(18) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe. Osebne podatke v dokumentih, ki jih ima javni organ ali javna ustanova, lahko ta organ ali ustanova razkrije v skladu z zakonodajo Unije ali države članice v zvezi z dostopom javnosti do uradnih dokumentov, ki usklajuje pravico do varstva osebnih podatkov s pravico dostopa javnosti do uradnih dokumentov in ustvarja pravično ravnotežje med različnimi interesi.

Predlog spremembe  4

Predlog uredbe

Uvodna izjava 20

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(20) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi morala biti obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca, ki nima sedeža v Uniji, predmet te uredbe, kadar so postopki obdelave povezani z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ali spremljanjem vedenja takih posameznikov.

(20) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi morala biti obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca, ki nima sedeža v Uniji, predmet te uredbe, kadar so postopki obdelave povezani z nudenjem blaga ali storitev, ne glede na to, ali je povezano s plačilom, takim posameznikom, na katere se nanašajo osebni podatki, ali spremljanjem takih posameznikov. Da bi ugotovili, ali tak upravljavec nudi blago ali storitve takim posameznikom, na katere se nanašajo osebni podatki, v Uniji, bi bilo treba preveriti, ali je jasno, da želi upravljavec nuditi storitve posameznikom, na katere se nanašajo osebni podatki in ki stalno prebivajo v eni ali več državah članicah Unije.

Predlog spremembe  5

Predlog uredbe

Uvodna izjava 21

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(21) Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da „spremlja vedenje“ posameznikov, na katere se nanašajo osebni podatki, bi bilo treba preveriti, ali se posameznikom sledi na internetu s tehnikami obdelave podatkov, ki obsegajo določanje „profila“ posameznika, zlasti z namenom sprejemanja odločitev o zadevni osebi oziroma za analiziranje ali predvidevanje osebnega okusa in vedenja zadevne osebe.

(21) Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da „spremlja“ posameznike, na katere se nanašajo osebni podatki, bi bilo treba preveriti, ali se posameznikom sledi, ne glede na vir podatkov, ali pa se zbirajo drugi podatki o njih, tudi iz javnih registrov in objav v Uniji, ki so dostopni zunaj Unije, vključno z namenom uporabe ali morebitne poznejše uporabe tehnik obdelave podatkov, ki obsegajo določanje „profila“, zlasti z namenom sprejemanja odločitev o zadevni osebi oziroma za analiziranje ali predvidevanje osebnega okusa in vedenja zadevne osebe.

Predlog spremembe  6

Predlog uredbe

Uvodna izjava 23

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(23) Načela varstva bi se morala uporabljati za katere koli informacije v zvezi z določeno ali določljivo osebo. Za odločitev, ali je oseba določljiva, je treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za določitev posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Načela varstva podatkov se ne bi smela uporabljati za podatke, ki so anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(23) Načela varstva podatkov bi morala veljati za vse informacije v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je oseba določljiva, bi bilo treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za neposredno ali posredno določitev ali razločevanje posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Da bi ugotovili, ali se za ta sredstva pričakuje, da bodo uporabljena za določitev posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški določitve in čas, potreben zanjo, pri čemer se upoštevata razpoložljiva tehnologija v času obdelave in tehnološki razvoj. Načela varstva podatkov se torej ne bi smela uporabljati za anonimne podatke, to so podatki, ki niso povezani z določeno ali določljivo fizično osebo. Ta uredba torej ne zadeva obdelave takšnih anonimnih podatkov, vključno z informacijami v statistične in raziskovalne namene.

Predlog spremembe  7

Predlog uredbe

Uvodna izjava 24

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(24) Pri uporabi spletnih storitev so lahko posamezniki povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola ali identifikatorji piškotkov. To lahko pusti sledi, ki se lahko skupaj z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo. Iz tega sledi, da identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev ali drugih posebnih dejavnikov ni treba vedno šteti za osebne podatke v vseh okoliščinah.

(24) Ta uredba bi se morala uporabljati za identifikatorje, ki jih zagotovijo naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola, identifikatorji piškotkov in oznake za radiofrekvenčno identifikacijo, razen v primeru, ko ti identifikatorji niso povezani z določeno ali določljivo fizično osebo.

Predlog spremembe  8

Predlog uredbe

Uvodna izjava 25

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(25) Privolitev bi morala biti dana izrecno s katero koli ustrezno metodo, ki omogoča prostovoljno dano posebno in informirano izjavo volje posameznika, na katerega se nanašajo osebni podatki, tj. z izjavo ali jasnim pritrdilnim dejanjem takega posameznika, kar zagotavlja, da posamezniki vedo, da dajejo privolitev za obdelavo osebnih podatkov, vključno s tem, da ob obisku spletne strani na internetu označijo okence, ali katero koli drugo izjavo ali ravnanjem, ki s tem v zvezi jasno kaže privolitev takega posameznika v predlagano obdelavo njegovih osebnih podatkov. Molk ali nedejavnost zato ne bi smela pomeniti privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi elektronske zahteve, mora biti zahteva jasna in natančna, prav tako pa ne sme biti po nepotrebnem moteča za uporabo storitve, za katero se zagotavlja.

(25) Privolitev bi morala biti dana izrecno s katero koli ustrezno metodo, ki omogoča prostovoljno dano posebno in informirano izjavo volje posameznika, na katerega se nanašajo osebni podatki, tj. z izjavo ali jasnim pritrdilnim dejanjem, ki je rezultat odločitve takega posameznika, kar zagotavlja, da posamezniki vedo, da dajejo privolitev za obdelavo osebnih podatkov. Jasno pritrdilno dejanje lahko vključuje označitev okenca ob obisku spletne strani ali katero koli drugo izjavo ali ravnanje, ki s tem v zvezi jasno kaže privolitev takega posameznika v predlagano obdelavo njegovih osebnih podatkov. Molk, sama raba storitve ali nedejavnost zato ne bi smeli pomeniti privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi elektronske zahteve, mora biti zahteva jasna in natančna, prav tako pa ne sme biti po nepotrebnem moteča za uporabo storitve, za katero se zagotavlja.

Predlog spremembe  9

Predlog uredbe

Uvodna izjava 29

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(29) Otroci potrebujejo posebno varstvo njihovih osebnih podatkov, saj se morda manj zavedajo nevarnosti in posledic ter slabše poznajo zaščitne ukrepe in pravice v zvezi z obdelavo osebnih podatkov. Za določitev, kdaj je posameznik otrok, bi morala ta uredba uporabiti opredelitev iz Konvencije ZN o otrokovih pravicah.

(29) Otroci potrebujejo posebno varstvo njihovih osebnih podatkov, saj se morda manj zavedajo nevarnosti in posledic ter slabše poznajo zaščitne ukrepe in pravice v zvezi z obdelavo osebnih podatkov. Če obdelava podatkov temelji na privolitvi posameznikov, na katere se nanašajo osebni podatki, v zvezi z blagom ali storitvami, ki se neposredno zagotavljajo otroku, bi morali privolitev ali odobritev dati otrokovi starši ali njegov zakoniti skrbnik, če je otrok mlajši od 13 let. Če so ciljna javnost otroci, je treba uporabiti letom primeren jezik. Drugi temelji za zakonito obdelavo, kot je recimo javni interes, bi morali še vedno veljati, recimo za obdelavo v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku.

Predlog spremembe  10

Predlog uredbe

Uvodna izjava 31

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(31) Da bi bila obdelava zakonita, morajo biti osebni podatki obdelani na podlagi privolitve zadevne osebe ali na kakršni koli drugi pravni podlagi, določeni z zakonom, bodisi v tej uredbi ali drugi zakonodaji Unije ali zakonodaji držav članic, kot je navedeno v tej uredbi.

(31) Da bi bila obdelava zakonita, morajo biti osebni podatki obdelani na podlagi privolitve zadevne osebe ali na kakršni koli drugi pravni podlagi, določeni z zakonom, bodisi v tej uredbi ali drugi zakonodaji Unije ali zakonodaji držav članic, kot je navedeno v tej uredbi. V primeru otroka ali osebe, ki nima pravne sposobnosti, bi moralo ustrezno pravo Unije ali države članice določiti pogoje, v katerih se šteje, da je ta oseba dala privolitev ali odobritev.

Predlog spremembe  11

Predlog uredbe

Uvodna izjava 32

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(32) Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v postopek obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu.

(32) Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v postopek obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu. Zaradi skladnosti z načelom zmanjšanja količine podatkov ne bi smeli razumeti, da dokazno breme terja potrditev identitete posameznikov, na katere se nanašajo osebni podatki, razen če je to nujno. Politike zasebnosti bi morale biti podobno kot določbe civilnega prava (npr. Direktiva 93/13/EGS1) čim bolj jasne in pregledne. Ne bi smele vsebovati skritih ali neugodnih določb. Ni mogoče dati privolitve za obdelavo podatkov tretjih oseb.

 

1 Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

Predlog spremembe  12

Predlog uredbe

Uvodna izjava 33

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(33) Za zagotovitev prostovoljne privolitve bi bilo treba pojasniti, da privolitev ne pomeni veljavne pravne podlage, če posameznik nima dejanske in prostovoljne izbire in zato privolitve ne more zavrniti ali preklicati brez škode.

(33) Za zagotovitev prostovoljne privolitve bi bilo treba pojasniti, da privolitev ne pomeni veljavne pravne podlage, če posameznik nima dejanske in prostovoljne izbire in zato privolitve ne more zavrniti ali preklicati brez škode. To velja zlasti v primeru, ko je upravljavec javni organ, ki lahko uvede obveznost s svojimi javnimi pooblastili in se ne more šteti, da je privolitev dana prostovoljno. Uporaba privzetih možnosti, na primer vnaprej označenih polj, ki jih mora posameznik, na katerega se nanašajo osebni podatki, spremeniti, da bi ugovarjal obdelavi, ne pomeni prostovoljne privolitve. Za uporabo storitve ne bi smela biti nujna privolitev za obdelavo dodatnih osebnih podatkov, ki za storitev niso nujni. Če se privolitev umakne, to lahko pomeni prenehanje ali neizvedbo storitve, ki je odvisna od teh podatkov. Ko izpolnitev prvotnega namena ni jasna, bi upravljavec moral posameznika, na katerega se podatki nanašajo, redno obveščati o obdelavi in zahtevati ponovno potrditev privolitve.

Predlog spremembe  13

Predlog uredbe

Uvodna izjava 34

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(34) Privolitev ne bi smela pomeniti veljavne pravne podlage za obdelavo osebnih podatkov, če obstaja očitno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem. To velja zlasti, kadar je posameznik, na katerega se nanašajo osebni podatki, odvisen od upravljavca, med drugim, kadar osebne podatke zaposlenega v okviru zaposlitve obdeluje delodajalec. Kadar je upravljavec javni organ, bi neravnovesje obstajalo samo v primeru posebnih postopkov obdelave podatkov, ko lahko javni organ s svojimi zadevnimi javnimi pooblastili uvede obveznost in se ob upoštevanju interesa posameznika, na katerega se nanašajo osebni podatki, za privolitev ne more šteti, da je dana prostovoljno.

črtano

Predlog spremembe  14

Predlog uredbe

Uvodna izjava 36

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(36) Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, mora biti pravna podlaga za obdelavo zakonodaja Unije ali zakonodaja držav članic, ki izpolnjuje zahteve Listine Evropske unije o temeljnih pravicah glede omejevanja pravic in svoboščin. Prav tako je naloga zakonodaje Unije ali zakonodaje držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa fizična ali pravna oseba, ki jo ureja zasebno pravo, kot na primer poklicno združenje.

(36) Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, mora biti pravna podlaga za obdelavo zakonodaja Unije ali zakonodaja držav članic, ki izpolnjuje zahteve Listine Evropske unije o temeljnih pravicah glede omejevanja pravic in svoboščin. To bi moralo zajemati tudi kolektivne pogodbe, ki bi lahko v skladu z nacionalnim pravom imele splošno veljavnost. Prav tako je naloga zakonodaje Unije ali zakonodaje držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa fizična ali pravna oseba, ki jo ureja zasebno pravo, kot na primer poklicno združenje.

Predlog spremembe  15

Predlog uredbe

Uvodna izjava 38

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(38) Pravni interesi upravljavca lahko pomenijo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Glede tega bi bila skrbna ocena potrebna zlasti, če je tak posameznik otrok, saj otroci potrebujejo posebno varstvo. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da brezplačno ugovarja obdelavi na podlagi razlogov, povezanih z njegovim posebnim položajem. Za zagotovitev preglednosti bi moral biti upravljavec zavezan, da posameznika, na katerega se nanašajo osebni podatki, izrecno obvesti o pravnih interesih, za katere si prizadeva, in o pravici do ugovora, prav tako pa bi moral te pravne interese dokumentirati. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog.

(38) Pravni interes upravljavca ali, v primeru razkritja, tretje stranke, kateri se podatki razkrijejo, lahko pomenijo pravno podlago za obdelavo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca, in če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Glede tega bi bila skrbna ocena potrebna zlasti, če je tak posameznik otrok, saj otroci potrebujejo posebno varstvo. Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se šteje, da na psevdonimne podatke omejena obdelava ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da brezplačno ugovarja obdelavi. Za zagotovitev preglednosti bi moral biti upravljavec zavezan, da posameznika, na katerega se nanašajo osebni podatki, izrecno obvesti o pravnih interesih, za katere si prizadeva, in o pravici do ugovora, prav tako pa bi moral te pravne interese dokumentirati. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, če se osebni podatki obdelujejo v primeru, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog.

Predlog spremembe  16

Predlog uredbe

Uvodna izjava 39

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(39) Obdelava podatkov v obsegu, nujno potrebnem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne preko teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev pomeni pravni interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih.

(39) Obdelava podatkov v obsegu, sorazmernem in nujno potrebnem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo preko teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev, pomeni pravni interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih. To načelo velja tudi za obdelavo osebnih podatkov za omejevanje zlonamernega dostopa do javno dostopnega omrežja ali informacijskih sistemov ter njihove uporabe, na primer uvrščanje na črni seznam elektronskih identifikatorjev.

Predlog spremembe  17

Predlog uredbe

Uvodna izjava 39 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(39a) Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se domneva, da upravljavec podatkov na svoji strani preprečuje ali omejuje škodo v svojem interesu ali, v primeru razkritja, v interesu tretje stranke, kateri se podatki razkrijejo, in da to ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Enako načelo velja tudi za uveljavljanje pravnih zahtevkov zoper posameznika, na katerega se nanašajo osebni podatki, kot so izterjava dolga ali civilnopravni odškodninski zahtevki ali civilnopravna sredstva.

Predlog spremembe  18

Predlog uredbe

Uvodna izjava 39 b (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(39b) Če interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne prevladajo, se šteje, da se obdelava osebnih podatkov zaradi neposrednega trženja lastnih in podobnih proizvodov in storitev ali zaradi poštnega neposrednega trženja opravlja zaradi legitimnega interesa upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, ter da ustrezajo razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca, če so dane informacije o pravici do ugovora in o viru osebnih podatkov. Za obdelavo poslovnih kontaktnih podatkov bi bilo treba v splošnem šteti, da se opravlja v legitimnem interesu upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, in da ustreza razumnim pričakovanjem osebe, na katero se podatki nanašajo, ob upoštevanju njenega razmerja do upravljavca. Enako bi moralo veljati za obdelavo osebnih podatkov, ki jih očitno objavi posameznik, na katerega se nanašajo osebni podatki.

Predlog spremembe  19

Predlog uredbe

Uvodna izjava 40

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(40) Obdelava osebnih podatkov v druge namene bi morala biti dovoljena le, če je skladna s tistimi nameni, za katere so bili podatki prvotno zbrani, zlasti kadar je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Če ta drugi namen ni skladen s prvotnim namenom, za katerega so podatki zbrani, bi moral upravljavec za ta drugi namen pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki, ali pa bi moral obdelavo utemeljiti na drugi zakoniti podlagi za zakonito obdelavo, zlasti kadar to določa zakonodaja Unije ali zakonodaja držav članic, ki velja za upravljavca. V vsakem primeru bi morala biti zagotovljena uporaba načel iz te uredbe in zlasti obveščanje posameznika, na katerega se nanašajo osebni podatki, o teh drugih namenih.

črtano

Predlog spremembe  20

Predlog uredbe

Uvodna izjava 41

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(41) Osebne podatke, ki so po svoji naravi še zlasti občutljivi in ranljivi glede temeljnih pravic ali zasebnosti, je treba še posebej varovati. Taki podatki se brez izrecne privolitve posameznika, na katerega se nanašajo osebni podatki, ne smejo obdelovati. Vendar morajo biti odstopanja od te prepovedi izrecno predvidena glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočati uveljavljanje temeljnih svoboščin.

črtano

Predlog spremembe  21

Predlog uredbe

Uvodna izjava 42

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(42) Odstopanje od prepovedi obdelave občutljivih vrst podatkov bi moralo biti dovoljeno tudi, če to določa zakon, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to upravičuje javni interes in zlasti v zdravstvene namene, vključno z javnim zdravjem in socialnim varstvom ter upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ali v zgodovinske, statistične in znanstvenoraziskovalne namene.

(42) Odstopanje od prepovedi obdelave občutljivih vrst podatkov bi moralo biti dovoljeno tudi, če to določa zakon, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to upravičuje javni interes in zlasti v zdravstvene namene, vključno z javnim zdravjem in socialnim varstvom ter upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, v zgodovinske, statistične in znanstvenoraziskovalne namene ali za službe za arhiviranje.

Predlog spremembe  22

Predlog uredbe

Uvodna izjava 45

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(45) Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec podatkov ne bi smel biti zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. V primeru zahteve po dostopu bi moral upravljavec imeti pravico, da od posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne informacije, ki bodo upravljavcu podatkov omogočile, da najde osebne podatke, ki jih ta oseba išče.

(45) Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec podatkov ne bi smel biti zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. V primeru zahteve po dostopu bi moral upravljavec imeti pravico, da od posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne informacije, ki bodo upravljavcu podatkov omogočile, da najde osebne podatke, ki jih ta oseba išče. Če posameznik, na katerega se nanašajo osebni podatki, lahko zagotovi take podatke, se upravljavci ne bi smeli sklicevati na pomanjkanje podatkov kot razlog za zavrnitev zahteve za dostop.

Predlog spremembe  23

Predlog uredbe

Uvodna izjava 47

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(47) Zagotoviti bi bilo treba načine za olajšanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, ki jih zagotavlja ta uredba, vključno z mehanizmi, s katerimi se brezplačno zahtevajo zlasti dostop do podatkov, popravek, izbris in uveljavljanje pravice do ugovora. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori v določenem roku in da v primeru neizpolnitve zahteve posameznika navede razloge za to.

(47) Zagotoviti bi bilo treba načine za olajšanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, ki jih zagotavlja ta uredba, vključno z mehanizmi, s katerimi se brezplačno pridobijo zlasti dostop do podatkov, popravek, izbris in uveljavljanje pravice do ugovora. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori v razumnem roku in da v primeru neizpolnitve zahteve posameznika navede razloge za to.

Predlog spremembe  24

Predlog uredbe

Uvodna izjava 48

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(48) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o času trajanja shranjevanja podatkov, o obstoju pravice do dostopa, popravka ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži.

(48) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o domnevnem času trajanja shranjevanja podatkov, če bodo podatki posredovani tretjim stranem ali tretjim državam, o obstoju meril za ugovarjanje in pravice do dostopa, popravka ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži. Te informacije je treba posvetovati posamezniku, na katerega se nanašajo osebni podatki, kar lahko pomeni tudi, da so mu dane na voljo, in sicer zatem, ko so mu posredovane poenostavljene informacij v obliki standardiziranih ikon. To bi moralo pomeniti tudi, da so osebni podatki obdelani na način, ki posamezniku, na katerega se nanašajo osebni podatki, dejansko omogočijo izvrševanje njegovih pravic.

Predlog spremembe  25

Predlog uredbe

Uvodna izjava 50

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(50) Vendar pa izvajanje te obveznosti ni nujno, če ima posameznik, na katerega se nanašajo osebni podatki, te informacije že na voljo ali če je beleženje ali posredovanje izrecno določeno z zakonom ali če bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. Do slednjega bi lahko prišlo zlasti, kadar se obdelava izvaja v zgodovinske, statistične ali znanstvenoraziskovalne namene; v zvezi s tem se lahko upošteva število posameznikov, na katere se nanašajo osebni podatki, starost podatkov in vsi sprejeti nadomestni ukrepi.

(50) Vendar pa izvajanje te obveznosti ni nujno, če je posameznik, na katerega se nanašajo osebni podatki, s temi informacijami že seznanjen ali če je beleženje ali posredovanje izrecno določeno z zakonom ali če bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor.

Predlog spremembe  26

Predlog uredbe

Uvodna izjava 51

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(51) Vsaka oseba bi morala imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave podatkov, obdobju obdelave, prejemnikih podatkov, logiki podatkov, ki se obdelujejo, in možnih posledicah obdelave, vsaj v primerih, kadar podatki temeljijo na oblikovanju profilov. Ta pravica ne bi smela škodljivo vplivati na pravice in svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, in predvsem na avtorske pravice, ki ščitijo programsko opremo. Vendar pa to ne sme povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrnejo vse informacije.

(51) Vsaka oseba bi morala imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave podatkov, predvidenem obdobju obdelave, prejemnikih podatkov, splošni logiki podatkov, ki se obdelujejo, in možnih posledicah obdelave. Ta pravica ne bi smela škodljivo vplivati na pravice in svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, na primer v zvezi z avtorskimi pravicami, ki ščitijo programsko opremo. Vendar pa to ne sme povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrnejo vse informacije.

Predlog spremembe  27

Predlog uredbe

Uvodna izjava 53

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(53) Vsaka oseba bi morala imeti pravico do popravka osebnih podatkov v zvezi z njo in „pravico biti pozabljen“, kadar hramba takih podatkov ni v skladu s to uredbo. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do tega, da se njihovi osebni podatki izbrišejo in se več ne obdelujejo, kadar podatki niso več potrebni zaradi namenov, za katere so zbrani ali kako drugače obdelani, kadar so posamezniki preklicali svojo privolitev v obdelavo ali kadar nasprotujejo obdelavi osebnih podatkov, ki se nanje nanašajo, ali kadar obdelava njihovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok, ko se ni v celoti zavedal nevarnosti, povezanih z obdelavo, in želi pozneje take osebne podatke odstraniti, zlasti z interneta. Vendar pa bi morala biti nadaljnja hramba podatkov dovoljena, če je to potrebno v zgodovinske, statistične in znanstvenoraziskovalne namene, zaradi javnega interesa na področju javnega zdravja, za uveljavljanje pravice do svobode izražanja, kadar to zahteva zakon ali če obstaja razlog za omejitev obdelave podatkov namesto njihovega izbrisa.

(53) Vsaka oseba bi morala imeti pravico do popravka osebnih podatkov v zvezi z njo in „pravico do izbrisa“, kadar hramba takih podatkov ni v skladu s to uredbo. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do tega, da se njihovi osebni podatki izbrišejo in se več ne obdelujejo, kadar podatki niso več potrebni zaradi namenov, za katere so zbrani ali kako drugače obdelani, kadar so posamezniki preklicali svojo privolitev v obdelavo ali kadar nasprotujejo obdelavi osebnih podatkov, ki se nanje nanašajo, ali kadar obdelava njihovih osebnih podatkov kako drugače ni v skladu s to uredbo. Vendar pa bi morala biti nadaljnja hramba podatkov dovoljena, če je to potrebno v zgodovinske, statistične in znanstvenoraziskovalne namene, zaradi javnega interesa na področju javnega zdravja, za uveljavljanje pravice do svobode izražanja, kadar to zahteva zakon ali če obstaja razlog za omejitev obdelave podatkov namesto njihovega izbrisa. Poleg tega se pravica do izbrisa ne bi smela uporabljati, če je hramba osebnih podatkov potrebna za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki, ali če obstaja pravna obveznost hrambe teh podatkov.

Predlog spremembe  28

Predlog uredbe

Uvodna izjava 54

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(54) Za okrepitev „pravice biti pozabljen“ v spletnem okolju bi morala biti pravica do izbrisa razširjena tako, da mora upravljavec, ki je osebne podatke objavil, tretje osebe, ki take podatke obdelujejo, obvestiti, da posameznik, na katerega se nanašajo osebni podatki, zahteva izbris morebitnih povezav do teh osebnih podatkov ali kopij osebnih podatkov. Da bi upravljavec zagotovil te informacije, mora glede podatkov, za objavo katerih je odgovoren, sprejeti vse primerne ukrepe, vključno s tehničnimi. Glede objave osebnih podatkov s strani tretje osebe se upravljavec šteje za odgovornega, če je odobril objavo s strani tretje osebe.

(54) Za okrepitev „pravice do izbrisa“ v spletnem okolju bi morala biti pravica do izbrisa razširjena tako, da mora upravljavec, ki je osebne podatke objavil brez pravne utemeljitve, storiti vse potrebno za izbris podatkov, tudi, če to morajo storiti tretje strani, pri čemer to ne posega v pravico posameznika, na katerega se nanašajo osebni podatki, do odškodnine.

Predlog spremembe  29

Predlog uredbe

Uvodna izjava 54 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(54a) Podatki, katerim posameznik, na katerega se osebni podatki nanašajo, oporeka, njihove točnosti ali netočnosti pa ni mogoče ugotoviti, bi se morali do rešitve tega vprašanja blokirati.

Predlog spremembe  30

Predlog uredbe

Uvodna izjava 55

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(55) Za okrepitev nadzora nad lastnimi podatki in pravice do dostopa bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico, da v primerih, kadar so osebni podatki obdelani z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pridobijo kopijo podatkov, ki se nanje nanašajo, tudi v elektronski obliki v splošni rabi. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti dovoljeno tudi prenašanje podatkov, ki jih je predložil, iz ene avtomatizirane aplikacije, na primer družabnega omrežja, v drugo. To bi moralo veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, na podlagi svoje privolitve ali pri izvajanju pogodbe zagotovil podatke avtomatiziranemu sistemu za obdelavo.

(55) Za okrepitev nadzora nad lastnimi podatki in pravice do dostopa bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico, da v primerih, kadar so osebni podatki obdelani z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pridobijo kopijo podatkov, ki se nanje nanašajo, tudi v elektronski obliki v splošni rabi. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti dovoljeno tudi prenašanje podatkov, ki jih je predložil, iz ene avtomatizirane aplikacije, na primer družabnega omrežja, v drugo. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. To bi moralo veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, na podlagi svoje privolitve ali pri izvajanju pogodbe zagotovil podatke avtomatiziranemu sistemu za obdelavo. Ponudniki storitev informacijske družbe za zagotavljanje svojih storitev ne bi smeli zahtevati prenosa teh podatkov.

Predlog spremembe  31

Predlog uredbe

Uvodna izjava 56

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(56) V primerih, v katerih se lahko osebni podatki zakonito obdelujejo zaradi zaščite življenjskih interesov posameznika ali zaradi javnega interesa, izvajanja javne oblasti ali zaradi pravnih interesov upravljavca, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do ugovora glede obdelave vseh podatkov, ki so z njim povezani. Upravljavec bi moral dokazati, da njegovi pravni interesi prevladujejo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

(56) V primerih, v katerih se lahko osebni podatki zakonito obdelujejo zaradi zaščite življenjskih interesov posameznika ali zaradi javnega interesa, izvajanja javne oblasti ali zaradi pravnih interesov upravljavca, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do ugovora glede obdelave vseh podatkov, ki so z njim povezani, in sicer brezplačno ter na enostaven in učinkovit način. Upravljavec bi moral dokazati, da njegovi pravni interesi prevladujejo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

Predlog spremembe  32

Predlog uredbe

Uvodna izjava 57

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(57) Kadar se osebni podatki obdelujejo zaradi neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi ugovarja brezplačno in na način, ki ga je mogoče enostavno in učinkovito uveljavljati.

(57) Kadar ima posameznik, na katerega se nanašajo osebni podatki, pravico, da obdelavi ugovarja, bi moral upravljavec podatkov posamezniku to pravico izrecno ponuditi na razumljiv način in v razumljivi obliki, ob uporabi enostavnega in jasnega jezika, in bi moral to informacijo jasno ločiti od ostalih.

Predlog spremembe  33

Predlog uredbe

Uvodna izjava 58

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(58) Vsaka fizična oseba bi morala imeti pravico, da ni predmet ukrepa, ki temelji na oblikovanju profilov s samodejno obdelavo. Vendar bi moral biti tak ukrep dovoljen, kadar ga izrecno dovoljuje zakon, kadar je sprejet med sklepanjem ali izvrševanjem pogodbe ali kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev. V vsakem primeru bi morali za take postopke veljati ustrezni zaščitni ukrepi, vključno s posebnim obveščanjem posameznika, na katerega se nanašajo osebni podatki, in pravico do človeškega posredovanja, veljati pa bi moralo tudi, da se tak ukrep ne sme nanašati na otroka.

(58) Ne glede na zakonitost obdelave podatkov bi morala vsaka fizična oseba imeti pravico, da ugovarja oblikovanju profilov. Oblikovanje profilov, ki vodi do ukrepov, ki imajo pravne učinke za osebo, na katero se nanašajo osebni podatki, ali podobno vplivajo na interese, pravice ali svoboščine zadevne osebe, bi moralo biti dovoljeno le, kadar to izrecno dovoljuje zakon, kadar je sprejet med sklepanjem ali izvrševanjem pogodbe ali kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev. V vsakem primeru bi morali za take postopke veljati ustrezni zaščitni ukrepi, vključno s posebnim obveščanjem posameznika, na katerega se nanašajo osebni podatki, in pravico do človeške ocene, veljati pa bi moralo tudi, da se tak ukrep ne sme nanašati na otroka. Taki ukrepi ne bi smeli voditi do diskriminacije do oseb na podlagi rase ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spolne usmerjenosti ali spolne identitete.

Predlog spremembe  34

Predlog uredbe

Uvodna izjava 58 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(58a) Za oblikovanje profilov, ki temelji le na obdelavi psevdonimnih podatkov, bi se moralo šteti, da ne vpliva znatno na interese, pravice ali svoboščine oseb, na katere se nanašajo osebni podatki. V primeru, ko oblikovanje profilov, ki bodisi temelji na enem viru psevdonimnih podatkov ali na združevanju psevdonimnih podatkov iz različnih virov, upravljavcu omogoči, da psevdonimne podatke dodeli posamezniku, na katerega se nanašajo osebni podatki, se ta postopek ne more več šteti za anonimnega.

Predlog spremembe  35

Predlog uredbe

Uvodna izjava 59

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(59) Omejitve posebnih načel in pravic do obveščenosti, dostopa, popravka in izbrisa ali pravice do prenosljivosti podatkov, pravice do ugovora, ukrepov, ki temeljijo na oblikovanju profilov, sporočanja o kršitvi varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo z zakonodajo Unije ali zakonodajo držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali kršitev etike za zakonsko urejene poklice, drugih javnih interesov Unije ali države članice, vključno s pomembnim gospodarskim ali finančnim interesom, ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih. Te omejitve morajo biti skladne z zahtevami iz Listine Evropske unije o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(59) Omejitve posebnih načel in pravic do obveščenosti, popravka in izbrisa ali pravice do pridobivanja podatkov ali dostopa do njih, pravice do ugovora, oblikovanja profilov, sporočanja o kršitvi varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo z zakonodajo Unije ali zakonodajo držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali kršitev etike za zakonsko urejene poklice, drugih specifičnih in jasno opredeljenih javnih interesov Unije ali države članice, vključno s pomembnim gospodarskim ali finančnim interesom, ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih. Te omejitve morajo biti skladne z zahtevami iz Listine Evropske unije o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

Predlog spremembe  36

Predlog uredbe

Uvodna izjava 60

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(60) Uvesti bi bilo treba celovito pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti zagotoviti in biti k temu zavezan, da dokaže skladnost vsakega postopka obdelave s to uredbo.

(60) Uvesti bi bilo treba celovito pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu, zlasti v zvezi z dokumentacijo, varnostjo podatkov, oceno učinka, uradno osebo za varstvo podatkov in nadzorom organov za varstvo podatkov. Upravljavec bi moral zlasti zagotoviti in biti zmožen dokazati skladnost vsakega postopka obdelave s to uredbo. To zmožnost preverijo neodvisni notranji ali zunanji revizorji.

Predlog spremembe  37

Predlog uredbe

Uvodna izjava 61

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(61) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pri obdelavi osebnih podatkov zahteva, da se sprejmejo ustrezni tehnični in organizacijski ukrepi, tako med načrtovanjem obdelave kot med samo obdelavo, in tako zagotovi, da so zahteve iz te uredbe izpolnjene. Za zagotovitev in dokaz skladnosti s to uredbo bi moral upravljavec sprejeti notranje politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načeli vgrajenega varstva podatkov.

(61) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pri obdelavi osebnih podatkov zahteva, da se sprejmejo ustrezni tehnični in organizacijski ukrepi, tako med načrtovanjem obdelave kot med samo obdelavo, in tako zagotovi, da so zahteve iz te uredbe izpolnjene. Za zagotovitev in dokaz skladnosti s to uredbo bi moral upravljavec sprejeti notranje politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načeli vgrajenega in privzetega varstva podatkov. V skladu z načelom vgrajenega varstva podatkov mora biti varstvo podatkov vgrajeno v celotnem življenjskem ciklu tehnologije, od začetne faze načrtovanja do uvedbe, uporabe in končno zavrženja. To bi moralo vključevati tudi odgovornost za proizvode in storitve, ki jih uporabljata upravljavec ali obdelovalec. V skladu z načelom privzetega varstva podatkov morajo biti privzete nastavitve storitev in proizvodov skladne s splošnimi načeli varstva podatkov, kot sta načeli zmanjšanja količine podatkov na najmanjšo možno mero in omejitve namena.

 

Predlog spremembe  38

Predlog uredbe

Uvodna izjava 62

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(62) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavca in obdelovalca, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene, pogoje in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je postopek obdelave izveden v imenu upravljavca.

(62) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavca in obdelovalca, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene obdelave določi skupaj z drugimi upravljavci ali kadar je postopek obdelave izveden v imenu upravljavca. Ta razmerja med skupnimi upravljavci bi morala odražati njihove dejanske vloge in odnose. Obdelava osebnih podatkov po tej uredbi bi morala vključevati dovoljenje, da upravljavec podatke posreduje skupnemu upravljavcu ali obdelovalcu za obdelavo podatkov v njegovem imenu.

Predlog spremembe  39

Predlog uredbe

Uvodna izjava 63

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(63) Kadar upravljavec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, ter se dejavnosti obdelave upravljavca nanašajo na nudenje blaga ali storitev takim posameznikom ali na spremljanje njihovega vedenja, bi moral upravljavec imenovati predstavnika, razen, če je sedež upravljavca v tretji državi, ki zagotavlja ustrezno raven varstva, oziroma je upravljavec malo ali srednje veliko podjetje ali javni organ, ali pa upravljavec takim posameznikom blago ali storitve nudi samo občasno. Predstavnik bi moral delovati v imenu upravljavca in nanj se lahko obrne kateri koli nadzorni organ.

(63) Kadar upravljavec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki, iz Unije, bi moral upravljavec imenovati predstavnika, razen, če je sedež upravljavca v tretji državi, ki zagotavlja ustrezno raven varstva, oziroma se obdelava nanaša na manj kakor 5000 posameznikov, na katere se nanašajo osebni podatki, v katerem koli neprekinjenem 12-mesečnem obdobju in se ne opravlja za posebne vrste osebnih podatkov ali je upravljavec javni organ ali pa upravljavec takim posameznikom blago ali storitve nudi samo občasno. Predstavnik bi moral delovati v imenu upravljavca in nanj se lahko obrne kateri koli nadzorni organ.

Predlog spremembe  40

Predlog uredbe

Uvodna izjava 64

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(64) Za ugotovitev, ali upravljavec posameznikom, na katere se nanašajo osebni podatki, blago in storitve nudi samo občasno, bi bilo treba preveriti, ali je iz splošnih dejavnosti upravljavca razvidno, da je nudenje blaga in storitev takim posameznikom samo njegova postranska dejavnost.

(Ne zadeva slovenske različice.)

Predlog spremembe  41

Predlog uredbe

Uvodna izjava 65

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(65) Za dokaz skladnosti s to uredbo bi moral upravljavec ali obdelovalec dokumentirati vsak postopek obdelave. Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave.

(65) Za bi lahko dokazal skladnosti s to uredbo, bi moral upravljavec ali obdelovalec hraniti dokumentacijo, potrebno za izpolnitev zahtev iz te uredbe. Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila oceni skladnosti s to uredbo. Toda bi bilo treba enak poudarek in pomen dati dobri praksi in izpolnjevanju zahtev in ne le vodenju dokumentacije.

Predlog spremembe  42

Predlog uredbe

Uvodna izjava 66

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(66) Za ohranitev varnosti in preprečitev obdelave s kršitvijo te uredbe bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi morala Komisija spodbujati tehnološko nevtralnost, interoperabilnost in inovativnost ter po potrebi sodelovati s tretjimi državami.

(66) Za ohranitev varnosti in preprečitev obdelave s kršitvijo te uredbe bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi bilo treba spodbujati tehnološko nevtralnost, interoperabilnost in inovativnost ter po potrebi spodbujati sodelovanje s tretjimi državami.

Predlog spremembe  43

Predlog uredbe

Uvodna izjava 67

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(67) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z zlorabo identitete. Zato bi moral upravljavec, ko ugotovi, da je prišlo do take kršitve, o tej kršitvi nemudoma, po možnosti v 24 urah, obvestiti nadzorni organ. Če tega ni mogoče storiti v 24 urah, je treba obvestilu priložiti pojasnilo razlogov za zamudo. Posameznike, pri katerih bi take kršitve lahko škodljivo vplivale na njihove osebne podatke, bi bilo treba o tem nemudoma obvestiti, da bi lahko sprejeli potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, na katerega se nanašajo osebni podatki, kadar lahko vodi na primer do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo bi moralo vsebovati opis narave kršitve varnosti osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi (npr. organi kazenskega pregona). Da bi lahko posamezniki, na katere se nanašajo osebni podatki, ublažili neposredno nevarnost nastanka škode, je treba take posameznike obvestiti nemudoma, potreba po izvajanju ustreznih ukrepov za preprečevanje nadaljnjih ali podobnih kršitev varnosti osebnih podatkov pa bi lahko upravičila daljšo zamudo.

(67) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z zlorabo identitete. Zato bi moral upravljavec brez neupravičenega odlašanja, pri čemer se šteje, da to ni pozneje kot v 72 urah, o tej kršitvi obvestiti nadzorni organ. Po potrebi je treba obvestilu priložiti pojasnilo razlogov za zamudo. Posameznike, pri katerih bi take kršitve lahko škodljivo vplivale na njihove osebne podatke, bi bilo treba o tem obvestiti brez neupravičenega odlašanja, da bi lahko sprejeli potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, na katerega se nanašajo osebni podatki, kadar lahko vodi na primer do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo bi moralo vsebovati opis narave kršitve varnosti osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi (npr. organi kazenskega pregona). Da bi lahko posamezniki, na katere se nanašajo osebni podatki, ublažili neposredno nevarnost nastanka škode, je treba take posameznike obvestiti nemudoma, potreba po izvajanju ustreznih ukrepov za preprečevanje nadaljnjih ali podobnih kršitev varnosti osebnih podatkov pa bi lahko upravičila daljšo zamudo.

Predlog spremembe  44

Predlog uredbe

Uvodna izjava 71 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(71a) Ocene učinka so temeljno jedro vsakega okvira za trajnostno varstvo podatkov, saj zagotavljajo, da se podjetja že v začetku zavedajo vseh morebitnih posledic svojih postopkov obdelave podatkov. Če so ocene učinka temeljite, se lahko bistveno zmanjša verjetnost kakršnih koli kršitev varnosti osebnih podatkov ali postopkov, ki posegajo v zasebnost. Zato bi morale ocene učinka na varstvo podatkov upoštevati celotni življenjski cikel upravljanja osebnih podatkov, od zbiranja do obdelave in izbrisa, ter bi morale natančno opisovati predvidene postopke obdelave, tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, predvidene za obvladovanje tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje skladnosti s to uredbo.

Predlog spremembe  45

Predlog uredbe

Uvodna izjava 71 b (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(71b) Upravljavci bi se morali osredotočati na varstvo osebnih podatkov skozi njihov celotni življenjski cikel, od zbiranja do obdelave in izbrisa, tako da bi že od začetka vlagali v okvir za trajnostno upravljanje podatkov, na podlagi katerega bi razvili celovit mehanizem skladnosti.

Predlog spremembe  46

Predlog uredbe

Uvodna izjava 73

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(73) Ocene učinka o varstvu podatkov mora izvajati javni organ, če taka ocena še ni bila izvedena v okviru sprejetja nacionalne zakonodaje, na kateri temelji opravljanje nalog javnega organa in ki ureja zadevne posebne postopke obdelave ali nize postopkov.

črtano

Predlog spremembe  47

Predlog uredbe

Uvodna izjava 74

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(74) Kadar ocena učinka o varstvu podatkov pokaže, da je s postopki obdelave povezana visoka raven posebnih tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, na primer izključevanje posameznikov iz pravice, ali na podlagi uporabe posebnih novih tehnologij, bi moralo biti pred začetkom postopka opravljeno posvetovanje z nadzornim organom o tvegani obdelavi, ki morda ni v skladu s to uredbo, s strani nadzornega organa pa podani predlogi za ureditev takega položaja. Tako posvetovanje bi moralo prav tako potekati med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe.

(74) Kadar ocena učinka o varstvu podatkov pokaže, da je s postopki obdelave povezana visoka raven posebnih tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, na primer izključevanje posameznikov iz pravice, ali na podlagi uporabe posebnih novih tehnologij, bi moralo biti pred začetkom postopka opravljeno posvetovanje z nadzornim organom ali uradno osebo za varstvo podatkov o tvegani obdelavi, ki morda ni v skladu s to uredbo, s strani nadzornega organa ali uradne osebe za varstvo podatkov pa podani predlogi za ureditev takega položaja. Posvetovanje z nadzornim organom bi moralo prav tako potekati med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe.

Predlog spremembe  48

Predlog uredbe

Uvodna izjava 74 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(74a) Ocene učinka so lahko koristne le, če upravljavci zagotovijo, da so usklajene z obljubami, ki so bile v teh ocenah prvotno zastavljene. Zato bi morali upravljavci podatkov izvajati redne preglede skladnosti z varstvom podatkov za dokazovanje skladnosti vzpostavljenih mehanizmov za obdelavo podatkov z zagotovili iz ocene učinka na varstvo podatkov. Ocena učinka bi morala tudi dokazati sposobnost upravljavca podatkov, da upošteva samostojne odločitve posameznikov, na katere se nanašajo osebni podatki. Če se pri pregledu ugotovijo neskladnosti, jih mora ocena učinka poudariti in predložiti priporočila o tem, kako doseči popolno usklajenost.

Predlog spremembe  49

Predlog uredbe

Uvodna izjava 75

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(75) Kadar se obdelava izvaja v javnem sektorju ali kadar v zasebnem sektorju obdelavo izvaja velika družba ali kadar njene temeljne dejavnosti, ne glede na velikost družbe, obsegajo postopke obdelave, ki jih je treba redno in sistematično spremljati, bi moral upravljavcu ali obdelovalcu nekdo pomagati pri spremljanju notranje skladnosti s to uredbo. Taka uradna oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

(75) Kadar se obdelava izvaja v javnem sektorju ali kadar v zasebnem sektorju obdelava zadeva več kot 5000 posameznikov, na katere se nanašajo osebni podatki, v 12-mesečnem obdobju ali kadar njene temeljne dejavnosti, ne glede na velikost družbe, obsegajo postopke obdelave občutljivih podatkov ali postopke obdelave, ki jih je treba redno in sistematično spremljati, bi moral upravljavcu ali obdelovalcu nekdo pomagati pri spremljanju notranje skladnosti s to uredbo. Pri ugotavljanju, ali se obdelujejo podatki o velikem številu posameznikov, na katere se nanašajo osebni podatki, se ne bi smeli upoštevati arhivirani podatki, ki so omejeni tako, da upravljavec do njih ne more normalno dostopati in jih obdelovati, ter tako, da jih ni več mogoče spremeniti. Taka uradna oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno in bi morala uživati posebno zaščito pred odpovedjo, ne glede na to, ali je pri upravljavcu zaposlena ali ne in ali to nalogo izvaja za poln delovni čas. Končno odgovornost bi morala ohraniti uprava organizacije. Z uradno osebo za varstvo podatkov bi se bilo treba posvetovati zlasti pred zasnovo, nabavo, razvojem in vzpostavitvijo sistemov za samodejno obdelavo osebnih podatkov, da bi se zagotovili načeli vgrajene in privzete zasebnosti.

Predlog spremembe  50

Predlog uredbe

Uvodna izjava 75 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(75a) Uradna oseba za varstvo podatkov bi morala imeti vsaj naslednje kvalifikacije: dobro poznavanje vsebine in uporabe zakonodaje o varstvu podatkov, vključno s tehničnimi in organizacijskimi ukrepi in postopki; obvladovanje tehničnih zahtev za vgrajeno in privzeto zasebnost ter varnost podatkov; znanje, specifično za sektor, glede na velikost upravljavca ali obdelovalca ter občutljivost podatkov, ki jih je treba obdelati; sposobnost izvajanja inšpekcijskih pregledov, posvetovanj, dokumentiranja in analiziranja dnevniških datotek; in sposobnost sodelovanja s predstavništvom zaposlenih. Upravljavec bi moral uradni osebi za varstvo podatkov omogočiti udeležbo na dodatnem izpopolnjevanju, da bi ohranila posebno znanje, ki ga potrebuje za opravljanje svojih dolžnosti. Imenovanje za uradno osebo za varstvo podatkov ne pomeni nujno zaposlitve s polnim delavnim časom.

Predlog spremembe  51

Predlog uredbe

Uvodna izjava 76

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(76) Združenja ali druge organe, ki predstavljajo vrste upravljavcev, bi bilo treba spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, pripravijo pravila ravnanja za pospeševanje učinkovite uporabe te uredbe.

(76) Združenja ali druge organe, ki predstavljajo vrste upravljavcev, bi bilo treba po posetovanju s predstavniki delavcev spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, pripravijo pravila ravnanja za pospeševanje učinkovite uporabe te uredbe. S takšnimi pravili ravnanja bi moralo biti za panogo lažje dosegati skladnost s to uredbo.

Predlog spremembe  52

Predlog uredbe

Uvodna izjava 77

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(77) Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro ocenijo raven varstva podatkov zadevnih proizvodov in storitev.

(77) Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in standardiziranih označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro, zanesljivo in preverljivo ocenijo raven varstva podatkov zadevnih proizvodov in storitev. Evropski pečat za varstvo podatkov bi se moral vzpostaviti na evropski ravni za vzpostavitev zaupanja med posamezniki, na katere se nanašajo osebni podatki, zagotoviti pravno varnost za upravljavce, hkrati pa razširiti evropske standarde na področju varstva podatkov prek meja z omogočanjem lažjega vstopa na evropske trge neevropskim podjetjem, ki pridobijo potrdilo.

Predlog spremembe  53

Predlog uredbe

Uvodna izjava 79

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(79) Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki.

(79) Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki, in zagotavljajo ustrezno raven zaščite temeljnih pravic državljanov.

Predlog spremembe  54

Predlog uredbe

Uvodna izjava 80

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(80) Komisija lahko sprejme sklep, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer tak sklep Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države dodatno pooblastilo ni potrebno.

(80) Komisija lahko sprejme sklep, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer tak sklep Komisije velja za celotno Unijo. Komisija lahko, potem ko tretjo državo obvesti in ji zadevo v celoti obrazloži, takšno odločitev tudi razveljavi.

Predlog spremembe  55

Predlog uredbe

Uvodna izjava 82

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(82) Komisija lahko tudi ugotovi, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi ustrezne ravni varstva podatkov. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami.

(82) Komisija lahko tudi ugotovi, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi ustrezne ravni varstva podatkov. Če zakonodajni akt omogoča zunajozemeljski dostop do osebnih podatkov, obdelanih v Uniji, brez odobritve po pravu Unije ali države članice, se šteje, da obstajajo pokazatelji, da zakonodaja ni ustrezna. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami.

Predlog spremembe  56

Predlog uredbe

Uvodna izjava 83

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(83) Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, ki bodo pomanjkanje varstva podatkov v tretji državi nadomestili z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ, ali drugih ustreznih in sorazmernih ukrepov, ki so ob upoštevanju vseh okoliščin postopka za prenos podatkov ali niza postopkov za prenos podatkov upravičeni in jih odobri nadzorni organ.

(83) Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, ki bodo pomanjkanje varstva podatkov v tretji državi nadomestili z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ. Taki ustrezni zaščitni ukrepi bi morali podpirati spoštovanje pravic posameznikov, na katere se nanašajo osebni podatki, ki ustreza obdelavi znotraj EU, zlasti v zvezi z omejitvijo namena ter pravico do dostopa, popravka, izbrisa ter pravico zahtevati odškodnino. Ti zaščitni ukrepi bi morali zlasti zagotoviti spoštovanje načel obdelave osebnih podatkov, zaščititi pravice posameznikov, na katere se nanašajo osebni podatki, nuditi učinkovite pravne instrumente, zagotoviti spoštovanje načel vgrajenega in privzetega varstva podatkov ter zagotoviti obstoj uradne osebe za varstvo podatkov.

Predlog spremembe  57

Predlog uredbe

Uvodna izjava 84

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(84) Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcu ali obdelovalcu ne bi smela preprečiti, da standardne določbe o varstvu podatkov vključi v obsežnejšo pogodbo ali doda druge določbe, če le-te neposredno ali posredno ne nasprotujejo standardnim določilom Komisije ali nadzornega organa o varstvu podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

(84) Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcu ali obdelovalcu ne bi smela preprečiti, da standardne določbe o varstvu podatkov vključi v obsežnejšo pogodbo ali doda druge določbe ali dodatne zaščitne ukrepe, če le-te neposredno ali posredno ne nasprotujejo standardnim določilom nadzornega organa o varstvu podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Standardna določila o varstvu podatkov, ki jih sprejme Komisija, bi lahko zajela različne situacije, in sicer prenose od upravljavcev iz Evropske unije na upravljavce, ki imajo sedež zunaj Evropske unije, in od upravljavcev, ki imajo sedež v Evropski uniji, do obdelovalcev, vključno s podobdelovalci, ki imajo sedež zunaj Evropske unije. Upravljavci in obdelovalci bi se morali spodbujati, da vzpostavijo še strožje zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardne zaščtitna določila.

Predlog spremembe  58

Predlog uredbe

Uvodna izjava 85

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(85) Skupina podjetij bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste skupine podjetij uporabi odobrena zavezujoča poslovna pravila, če ta poslovna pravila obsegajo bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenos ali niz prenosov osebnih podatkov.

(85) Skupina podjetij bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste skupine podjetij uporabi odobrena zavezujoča poslovna pravila, če ta poslovna pravila obsegajo vsa bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenos ali niz prenosov osebnih podatkov.

Predlog spremembe  59

Predlog uredbe

Uvodna izjava 86

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(86) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev, kadar je prenos potreben zaradi pogodbe ali pravnega zahtevka, kadar to zahtevajo pomembni javni interesi, določeni z zakonodajo Unije ali zakonodajo držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonodajo, ki je namenjen za uporabo s strani javnosti ali oseb s pravnim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo pravni interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

(86) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev, kadar je prenos potreben zaradi pogodbe ali pravnega zahtevka, kadar to zahtevajo pomembni javni interesi, določeni z zakonodajo Unije ali zakonodajo držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonodajo, ki je namenjen za uporabo s strani javnosti ali oseb s pravnim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo pravni interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

Predlog spremembe  60

Predlog uredbe

Uvodna izjava 87

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(87) Ta odstopanja bi morala veljati zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti, ali organi, pristojnimi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj.

(87) Ta odstopanja bi morala veljati zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva, ali državnimi organi, pristojnimi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj, vključno za preprečevanje pranja denarja in boj proti financiranju terorizma. Prenos osebnih podatkov bi bilo prav tako treba šteti za zakonitega, kadar je treba zaščititi interes, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, če zadevni posameznik ni sposoben dati privolitve. Prenosi osebnih podatkov zaradi takšnega pomembnega javnega interesa bi se morali odvijati zgolj občasno. V vsakem posameznem primeru bi bilo treba temeljito oceniti vse okoliščine prenosa.

Predlog spremembe  61

Predlog uredbe

Uvodna izjava 88

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(88) Prenosi, ki jih ni mogoče šteti za pogoste ali množične, bi lahko bili po oceni vseh okoliščin, povezanih s prenosom podatkov, mogoči tudi zaradi pravnih interesov upravljavca ali obdelovalca. Pri obdelavi v zgodovinske, statistične in znanstvenoraziskovalne namene bi bilo treba upoštevati legitimna pričakovanja družbe po večjem znanju.

Pri obdelavi v zgodovinske, statistične in znanstvenoraziskovalne namene bi bilo treba upoštevati legitimna pričakovanja družbe po večjem znanju.

Predlog spremembe  62

Predlog uredbe

Uvodna izjava 89

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(89) V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo, da zanje po prenosu teh podatkov še vedno veljajo temeljne pravice in zaščitni ukrepi glede obdelave njihovih podatkov v Uniji.

(89) V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, dajejo pravno zavezujoče zagotovilo, da zanje po prenosu teh podatkov še vedno veljajo temeljne pravice in zaščitni ukrepi glede obdelave njihovih podatkov v Uniji, kolikor obdelava ni množična, ponavljajoča se ali strukturna. To jamstvo bi moralo vključevati finančno nadomestilo v primeru izgube ali nepooblaščenega dostopa ali obdelave podatkov in ne glede na nacionalno zakonodajo tudi obveznost zagotavljanja vseh podrobnosti o vseh dostopih javnih organov v tretji državi do podatkov.

Predlog spremembe  63

Predlog uredbe

Uvodna izjava 90

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(90) Nekatere tretje države sprejemajo zakone, predpise in druge zakonodajne akte, ki neposredno urejajo dejavnosti obdelave podatkov fizičnih in pravnih oseb, ki so pod sodno pristojnostjo držav članic. Zunajozemeljska uporaba teh zakonov, predpisov in drugih zakonodajnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. . Prenosi bi smeli biti dovoljeni samo, kadar so pogoji te uredbe za prenos v tretje države izpolnjeni. To je lahko med drugim v primerih, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca. Pogoje, pod katerimi obstaja pomemben javni interes, bi morala Komisija natančneje določiti z delegiranim aktom.

(90) Nekatere tretje države sprejemajo zakone, predpise in druge zakonodajne akte, ki neposredno urejajo dejavnosti obdelave podatkov fizičnih in pravnih oseb, ki so pod sodno pristojnostjo držav članic. Zunajozemeljska uporaba teh zakonov, predpisov in drugih zakonodajnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so pogoji te uredbe za prenos v tretje države izpolnjeni. To je lahko med drugim v primerih, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca. Pogoje, pod katerimi obstaja pomemben javni interes, bi morala Komisija natančneje določiti z delegiranim aktom. Kadar bi se upravljavci ali obdelovalci srečali z navzkrižjem v zvezi z zahtevami glede skladnosti med pristojnostjo Unije na eni ter pristojnostjo tretje države na drugi strani, bi morala Komisija zagotoviti, da ima zakonodaja Unije vedno prednost. Komisija bi morala upravljavcu in obdelovalcu zagotoviti smernice in pomoč ter si prizadevati za rešitev spora v zvezi s pristojnostjo z zadevno tretjo državo.

Predlog spremembe  64

Predlog uredbe

Uvodna izjava 92

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(92) Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo.

(92) Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo. Organ mora imeti ustrezne finančne in človeške vire za popolno izvajanje svoje vloge, ob upoštevanju številčnosti populacije in obsega obdelave osebnih podatkov.

Predlog spremembe  65

Predlog uredbe

Uvodna izjava 94

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(94) Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji.

(94) Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, s posebnim poudarkom na zagotavljanju ustreznega tehničnega in pravnega znanja osebja, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji.

Predlog spremembe  66

Predlog uredbe

Uvodna izjava 95

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(95) Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, ter vsebovati pravila o osebnih kvalifikacijah in položaju teh članov.

(95) Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, pri čemer si je treba prizadevati za zmanjšanje možnosti političnega vmešavanja na najnižjo možno raven, ter vsebovati pravila o osebnih kvalifikacijah članov, preprečevanju navzkrižij interesov in položaju teh članov.

Predlog spremembe  67

Predlog uredbe

Uvodna izjava 97

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(97) Kadar obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji poteka v več kot eni državi članici, bi moral biti en sam nadzorni organ pristojen za spremljanje dejavnosti upravljavca ali obdelovalca v vsej Uniji in sprejemati s tem povezane odločitve, da bi povečal doslednost uporabe, zagotovil pravno varnost in za take upravljavce in obdelovalce zmanjšal upravno breme.

(97) Kadar obdelava osebnih podatkov v okviru dejavnosti enote upravljavca ali obdelovalca v Uniji poteka v več kot eni državi članici, bi moral en sam nadzorni organ delovati kot enotna kontaktna točka in vodilni organ, pristojen za upravljavca ali obdelovalca v vsej Uniji in sprejemati s tem povezane odločitve, da bi povečal doslednost uporabe, zagotovil pravno varnost in za take upravljavce in obdelovalce zmanjšal upravno breme.

Predlog spremembe  68

Predlog uredbe

Uvodna izjava 98

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(98) Pristojni organ, ki zagotavlja „vse na enem mestu“, bi moral biti nadzorni organ države članice, v kateri ima upravljavec ali obdelovalec glavni sedež.

(98) Vodilni organ, ki zagotavlja „vse na enem mestu“, bi moral biti nadzorni organ države članice, v kateri ima upravljavec ali obdelovalec glavni sedež ali svojega predstavnika. Evropski odbor za varstvo podatkov lahko na zahtevo pristojnega organa v nekaterih primerih preko mehanizma za skladnost določi vodilni organ.

Predlog spremembe  69

Predlog uredbe

Uvodna izjava 98 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(98a) Posamezniki, katerih osebne podatke obdeluje upravljavec ali obdelovalec podatkov v drugi državi članici, bi morali imeti možnost pritožbe na nadzorni organ po lastni izbiri. Vodilni organ za varstvo podatkov bi moral usklajevati svoje delo z delom drugih sodelujočih organov.

Predlog spremembe  70

Predlog uredbe

Uvodna izjava 101

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(101) Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje proučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(101) Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki deluje v javnem interesu, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje proučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

Predlog spremembe  71

Predlog uredbe

Uvodna izjava 105

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(105) Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi in s Komisijo. Ta mehanizem bi se moral uporabljati zlasti v primerih, ko namerava nadzorni organ ukrepati glede postopkov obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem takih posameznikov, ali pa v primerih, ki bi lahko znatno vplivali na prosti pretok osebnih podatkov. Uporabljati bi se moral tudi, kadar nadzorni organ ali Komisija zahteva, da se zadeva obravnava v mehanizmu za skladnost. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

(105) Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi in s Komisijo. Ta mehanizem bi se moral uporabljati zlasti v primerih, ko namerava nadzorni organ ukrepati glede postopkov obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem takih posameznikov, ali pa v primerih, ki bi lahko znatno vplivali na prosti pretok osebnih podatkov. Uporabljati bi se moral tudi, kadar nadzorni organ ali Komisija zahteva, da se zadeva obravnava v mehanizmu za skladnost. Poleg tega bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico do zagotovitve doslednosti, če menijo, da ukrep organa za varstvo podatkov države članice ni izpolnil tega merila. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

Predlog spremembe                72

Predlog uredbe

Uvodna izjava 106 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(106a) Da se zagotovi dosledna uporaba te uredbe, Evropski odbor za varstvo podatkov lahko v posameznih primerih sprejeme odločitev, ki je zavezujoča za pristojne nadzorne organe.

Predlog spremembe  73

Predlog uredbe

Uvodna izjava 107

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(107) Za zagotovitev skladnosti s to uredbo lahko Komisija o tem sprejme mnenje ali sklep, ki od nadzornega organa zahteva, da svoj osnutek ukrepa začasno prekliče.

črtano

Predlog spremembe  74

Predlog uredbe

Uvodna izjava 110

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(110) Na ravni Unije bi bilo treba ustanoviti Evropski odbor za varstvo podatkov. Moral bi nadomestiti delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov. Komisija bi morala sodelovati pri dejavnostih odbora. Evropski odbor za varstvo podatkov bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji. Evropski odbor za varstvo podatkov mora pri opravljanju svojih nalog delovati neodvisno.

(110) Na ravni Unije bi bilo treba ustanoviti Evropski odbor za varstvo podatkov. Moral bi nadomestiti delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov. Evropski odbor za varstvo podatkov bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem institucijam Evropske unije in spodbujanjem sodelovanja nadzornih organov v vsej Uniji, vključno z usklajevanjem skupnih dejavnosti. Evropski odbor za varstvo podatkov mora pri opravljanju svojih nalog delovati neodvisno. Evropski odbor za varstvo podatkov bi moral okrepiti dialog z ustreznimi deležniki, kot so združenja posameznikov, na katere se nanašajo osebni podatki, organizacije potrošnikov, upravljavci podatkov in drugi ustrezni deležniki in strokovnjaki.

Predlog spremembe  75

Predlog uredbe

Uvodna izjava 111

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do pravnega sredstva v sodnem postopku, če meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

(111) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine o temeljnih pravicah, če meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

 

Predlog spremembe  76

Predlog uredbe

Uvodna izjava 112

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu ali uveljavitve pravice do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

(112) Vsak organ, organizacija ali združenje, ki deluje v javnem interesu, in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico, da v imenu posameznika, na katerega se nanašajo osebni podatki, vloži pritožbo pri nadzornem organu ali uveljavlja pravico do pravnega sredstva, če ima pooblastilo tega posameznika, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve te uredbe.

Predlog spremembe  77

Predlog uredbe

Uvodna izjava 114

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Za okrepitev sodnega varstva posameznika, na katerega se nanašajo osebni podatki, kadar je pristojni nadzorni organ ustanovljen v drugi državi članici kot tisti, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, lahko tak posameznik od katerega koli organa, organizacije ali združenja, katerega namen je varstvo pravic in interesov posameznikov pri obdelavi njihovih podatkov, zahteva, da v njegovem imenu pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ.

(114) Za okrepitev sodnega varstva posameznika, na katerega se nanašajo osebni podatki, kadar je pristojni nadzorni organ ustanovljen v drugi državi članici kot tisti, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, lahko tak posameznik pooblasti kateri koli organ, organizacijo ali združenje, ki deluje v javnem interesu, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ.

Predlog spremembe  78

Predlog uredbe

Uvodna izjava 115

Besedilo, ki ga predlaga Komisija

Predlog spremembe

V primerih, kadar se pristojni nadzorni organ s sedežem v drugi državi članici ne odzove ali ne sprejme zadostnih ukrepov v zvezi s pritožbo, lahko posameznik, na katerega se nanašajo osebni podatki, od nadzornega organa države članice njegovega običajnega prebivališča zahteva, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. Zaprošeni nadzorni organ se lahko odloči, ali je primerno ugoditi zahtevi; odločitev je lahko predmet sodne presoje.

V primerih, kadar se pristojni nadzorni organ s sedežem v drugi državi članici ne odzove ali ne sprejme zadostnih ukrepov v zvezi s pritožbo, lahko posameznik, na katerega se nanašajo osebni podatki, od nadzornega organa države članice njegovega običajnega prebivališča zahteva, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. To ne velja za nerezidente v EU. Zaprošeni nadzorni organ se lahko odloči, ali je primerno ugoditi zahtevi; odločitev je lahko predmet sodne presoje.

Predlog spremembe  79

Predlog uredbe

Uvodna izjava 116

Besedilo, ki ga predlaga Komisija

Predlog spremembe

V postopkih zoper upravljavca ali obdelovalca bi moral imeti tožnik možnost, da postopek začne pred sodiščem države članice, v kateri ima upravljavec ali obdelovalec sedež, ali pred sodiščem države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ, ki izvaja svoja javna pooblastila.

(116) V postopkih zoper upravljavca ali obdelovalca bi moral imeti tožnik možnost, da postopek začne pred sodiščem države članice, v kateri ima upravljavec ali obdelovalec enoto ali v primeru dovoljenja za prebivanje v EU, pred sodiščem države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ Unije ali države članice, ki izvaja svoja javna pooblastila.

Predlog spremembe  80

Predlog uredbe

Uvodna izjava 118

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Vso škodo, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti, če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile.

(118) Vso škodo, ne glede na to, ali je denarna ali ne, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti le, če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi, da je krivda na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile.

Predlog spremembe  81

Predlog uredbe

Uvodna izjava 119

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(119) Kaznovati bi bilo treba vsako osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to uredbo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij.

(119) Kaznovati bi bilo treba vsako osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to uredbo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij. Za pravila o kazenskih sankcijah se uporabljajo ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine o temeljnih pravicah, tudi tistimi o pravici do učinkovitega pravnega sredstva, dolžnem postopanju in uporabi načela ne bis in idem.

Predlog spremembe  82

Predlog uredbe

Uvodna izjava 119 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(119a) Države članice pri uporabi kazenskih sankcij v celoti spoštujejo ustrezne postopkovne zaščitne ukrepe, tudi pravico do učinkovitega pravnega sredstva, dolžno postopanje in uporabo načela ne bis in idem.

Predlog spremembe  83

Predlog uredbe

Uvodna izjava 121

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, bi morala veljati izjema od zahtev nekaterih določb te uredbe, da se uskladi pravica do varstva osebnih podatkov s pravico do svobode izražanja in predvsem pravico do sprejemanja in širjenja informacij, kot je zagotovljeno zlasti v členu 11 Listine Evropske unije o temeljnih pravicah. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, ki bi morali določati izjeme in odstopanja, potrebne za uravnoteženje teh temeljnih pravic. Take izjeme in odstopanja bi države članice morale sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov ter sodelovanja in skladnosti. Vendar pa države članice ne bi smele določati izjem od drugih določb te uredbe. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu. Zato bi morale države članice opredeliti dejavnosti kot „novinarske“ za namene izjem in odstopanj na podlagi te uredbe, če je predmet teh dejavnosti razkritje informacij, mnenj ali idej javnosti, ne glede na medij, s katerim se prenašajo. Ne bi smele biti omejene na medijske družbe, opravljajo pa se lahko v profitne ali neprofitne namene.

(121) Kadar je to potrebno, bi morale biti za obdelavo osebnih podatkov možne izjeme ali odstopanja od zahtev nekaterih določb te uredbe, da se uskladi pravica do varstva osebnih podatkov s pravico do svobode izražanja in predvsem pravico do sprejemanja in širjenja informacij, kot je zagotovljeno zlasti v členu 11 Listine Evropske unije o temeljnih pravicah. Zato bi morale države članice sprejeti zakonodajne ukrepe, ki bi morali določati izjeme in odstopanja, potrebne za uravnoteženje teh temeljnih pravic. Take izjeme in odstopanja bi države članice morale sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov. Vendar pa države članice ne bi smele določati izjem od drugih določb te uredbe. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, razlagati v širokem smislu, da bodi zajemali vse dejavnosti, katerih cilj je razkritje informacij, mnenj ali idej javnosti, ne glede na medij, s katerim se prenašajo, pri tem pa se upošteva tudi tehnološki razvoj. Ne bi smele biti omejene na medijske družbe, opravljajo pa se lahko v profitne ali neprofitne namene.

Predlog spremembe  84

Predlog uredbe

Uvodna izjava 122 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(122a) Strokovnjak, ki obdeluje osebne zdravstvene podatke, bi moral po možnosti prejeti anonimizirane ali psevdonimizirane podatke, pri čemer identiteto pozna le splošni zdravnik ali specialist, ki je zahteval obdelavo teh podatkov.

Predlog spremembe  85

Predlog uredbe

Uvodna izjava 123

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(123) Obdelava osebnih podatkov v zvezi z zdravjem je lahko potrebna zaradi javnega interesa na področju javnega zdravja, brez privolitve posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem je treba pojem „javno zdravje“ razlagati, kakor je opredeljeno v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu, kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave osebnih podatkov v zvezi z zdravjem zaradi javnega interesa tretje osebe, kot so delodajalci ter zavarovalne in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene.

(123) Obdelava osebnih podatkov v zvezi z zdravjem je lahko potrebna zaradi javnega interesa na področju javnega zdravja, brez privolitve posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljeno v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta1, kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti.

 

1 Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).

Predlog spremembe  86

Predlog uredbe

Uvodna izjava 123 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(123a) Obdelava osebnih podatkov v zvezi z zdravjem kot posebne kategorije podatkov je lahko potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Uredba zato določa izvzetje iz zahteve po privolitvi v primerih raziskav, ki so v velikem javnem interesu.

Predlog spremembe  87

Predlog uredbe

Uvodna izjava 124

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(124) Splošna načela o varstvu posameznikov pri obdelavi osebnih podatkov bi morala veljati tudi glede zaposlitve. Za ureditev obdelave osebnih podatkov zaposlenega v okviru zaposlitve bi morale države članice imeti možnost, da v mejah te uredbe sprejmejo posebno zakonodajo o obdelavi osebnih podatkov v sektorju zaposlovanja.

(124) Splošna načela o varstvu posameznikov pri obdelavi osebnih podatkov bi morala veljati tudi glede zaposlitve in socialnega varstva. Države članice bi morale imeti možnost ureditve obdelave osebnih podatkov zaposlenega v okviru zaposlitve in obdelavo osebnih podatkov v okviru socialnega varstva v skladu s pravili in minimalnimi standardi iz te uredbe. Če v zadevni državi članici obstaja pravna podlaga, ki omogoča ureditev zadev iz delovnega razmerja s sporazumom med predstavniki zaposlenih in vodstvom podjetja ali družbe, ki obvladuje skupino povezanih družb (kolektivni sporazum) ali v skladu z Direktivo 2009(38/ES Evropskega parlamenta in Sveta1, potem se lahko s takim sporazumom uredi tudi obdelava osebnih podatkov v okviru zaposlitve.

 

1 Direktiva 2009/38/ES Evropskega parlamenta in Sveta z dne 6. maja 2009 o ustanovitvi Evropskega sveta delavcev ali uvedbi postopka obveščanja in posvetovanja z delavci v družbah ali povezanih družbah na območju Skupnosti (prenovitev) (UL L 122, 16.5.2009, str. 28).

Predlog spremembe  88

Predlog uredbe

Uvodna izjava 125 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(125a) Osebne podatke lahko naknadno obdelajo službe za arhiviranje, katerih glavna naloga ali obveznost je zbiranje, hramba, posredovanje informacij, uporaba in razširjanje arhivskega gradiva v javnem interesu. Države članice z zakonodajo uskladijo pravico do varstva osebnih podatkov s pravili o arhivih in o dostopu javnosti do upravnih informacij. Države članice spodbujajo pripravo pravil, zlasti s strani Evropske skupine za arhiviranje, za zagotavljanje zaupnosti podatkov v razmerju do tretjih strank in verodostojnosti, celovitosti in ustrezne hrambe podatkov.

Predlog spremembe                89

Predlog uredbe

Uvodna izjava 126

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(126) Znanstvene raziskave za namene te uredbe bi morale obsegati temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, obenem pa bi morale upoštevati cilj Unije iz člena 179(1) Pogodbe o delovanju Evropske unije glede oblikovanja evropskega raziskovalnega območja.

Znanstvene raziskave za namene te uredbe bi morale obsegati temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, obenem pa bi morale upoštevati cilj Unije iz člena 179(1) Pogodbe o delovanju Evropske unije glede oblikovanja evropskega raziskovalnega območja. Obdelava osebnih podatkov iz zgodovinskih, statističnih in znanstvenoraziskovalnih namenov ne bi smela privesti do obdelave osebnih podatkov v druge namene, razen s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali na podlagi prava Unije ali države članice.

Predlog spremembe  90

Predlog uredbe

Uvodna izjava 128

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi nacionalne zakonodaje v državah članicah, kot je priznan v členu 17 Pogodbe o delovanju Evropske unije. Zato bi se morala, če cerkev v državi članici v času začetka veljavnosti te uredbe uporablja celovita pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta veljavna pravila uporabljati še naprej, če se uskladijo s to uredbo. Od cerkva in verskih združenj bi bilo treba zahtevati, da zagotovijo ustanovitev popolnoma neodvisnega nadzornega organa.

(128) Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi nacionalne zakonodaje v državah članicah, kot je priznan v členu 17 Pogodbe o delovanju Evropske unije. Zato bi se morala, če cerkev v državi članici v času začetka veljavnosti te uredbe uporablja ustrezna pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta veljavna pravila uporabljati še naprej, če se uskladijo s to uredbo in se prizna, da so z njo skladna.

Predlog spremembe  91

Predlog uredbe

Uvodna izjava 129

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(129) Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Delegirane akte bi bilo treba sprejeti zlasti glede zakonitosti obdelave; določanja meril in pogojev v zvezi s privolitvijo otroka; obdelave posebnih vrst podatkov; določanja meril in pogojev za očitno čezmerne zahteve in pristojbin za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki; meril in zahtev po obveščanju posameznika, na katerega se nanašajo osebni podatki, in v zvezi s pravico do dostopa; pravice biti pozabljen in do izbrisa; ukrepov, ki temeljijo na oblikovanju profilov; meril in zahtev glede odgovornosti upravljavca ter glede vgrajenega varstva podatkov; obdelovalca; meril in zahtev za beleženje in varnost obdelave; meril in zahtev za ugotavljanje kršitve varnosti osebnih podatkov in za obveščanje nadzornega organa o kršitvi ter o okoliščinah, v katerih bo kršitev verjetno škodljivo vplivala na posameznika, na katerega se nanašajo osebni podatki; meril in pogojev za postopke obdelave, pri katerih je potrebna ocena učinka o varstvu podatkov; meril in zahtev za določanje visoke ravni posebnih tveganj, zaradi katerih je potrebno predhodno posvetovanje; imenovanja in nalog uradne osebe za varstvo podatkov; pravil ravnanja; meril in zahtev za mehanizme za potrjevanje; meril in zahtev za prenose na podlagi zavezujočih poslovnih pravil; odstopanj za prenose; upravnih sankcij; obdelave v zdravstvene namene; obdelave v okviru zaposlitve ter obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene. Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov. Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni dokumenti Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način.

(129) Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Delegirane akte bi bilo treba sprejeti zlasti glede določanja pogojev za zagotavljanje informacij, ki temelji na ikonah; pravice do izbrisa; izjave, da so pravila ravnanja skladna z uredbo; meril in zahtev za mehanizme za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država ali mednarodna organizacija; meril in zahtev za prenose na podlagi zavezujočih poslovnih pravil; upravnih sankcij; obdelave v zdravstvene namene in obdelave v okviru zaposlitve. Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov, zlasti z Evropskim odborom za varstvo podatkov. Komisija bi morala med pripravo in sestavljanjem delegiranih aktov zagotoviti, da se ustrezni dokumenti sočasno, pravočasno in ustrezno predložijo Evropskemu parlamentu in Svetu.

Predlog spremembe  92

Predlog uredbe

Uvodna izjava 130

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(130) Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev standardnih obrazcev v zvezi z obdelavo osebnih podatkov otroka; standardnih postopkov in obrazcev za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardne obrazce in postopke v zvezi s pravico do dostopa; pravico do prenosljivosti podatkov; standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije; posebnih zahtev glede varnosti obdelave; standardnih oblik zapisa in postopkov za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov; standardov in postopkov za oceno učinka o varstvu podatkov; obrazcev in postopkov za predhodno odobritev in predhodno posvetovanje; tehničnih standardov in mehanizmov za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritij, ki jih pravo Unije ne dovoljuje; medsebojne pomoči; skupnega ukrepanja; odločitve v okviru mehanizma za skladnost. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije. V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja.

(130) Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev standardnih obrazcev za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi z obdelavo osebnih podatkov otroka; standardnih obrazcev za sporočila posameznikom, kateri podatke se obdeluje, o uveljavljanju njihovih pravic; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev v zvezi s pravico do dostopa, vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki; standardnih obrazcev v zvezi z dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec; standardnih obrazcev za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter za dokumentiranje kršitve varnosti osebnih podatkov; obrazcev za predhodno posvetovanje z nadzornim organom in njegovo obveščanje; Pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta1. V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja.

 

1 Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije. V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja.

Predlog spremembe  93

Predlog uredbe

Uvodna izjava 131

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(131) Za sprejetje standardnih obrazcev v zvezi s privolitvijo otroka; standardnih postopkov in obrazcev za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev in postopkov v zvezi s pravico do dostopa; pravice do prenosljivosti podatkov; standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije; posebnih zahtev glede varnosti obdelave; standardnih oblik zapisa in postopkov za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov; standardov in postopkov za oceno učinka o varstvu podatkov; obrazcev in postopkov za predhodno odobritev in predhodno posvetovanje; tehničnih standardov in mehanizmov za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritij, ki jih pravo Unije ne dovoljuje; medsebojne pomoči; skupnega ukrepanja; odločitev v okviru mehanizma za skladnost bi bilo treba uporabiti postopek pregleda, saj se ti akti splošno uporabljajo.

(131) Postopek pregleda bi bilo treba uporabljati za sprejetje: standardnih obrazcev za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi z obdelavo osebnih podatkov otroka; standardnih obrazcev za obveščanje posameznikov, kateri podatke se obdeluje, o uveljavljanju njihovih pravic; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev v zvezi s pravico do dostopa, vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki; standardnih obrazcev v zvezi z dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec; standardnih obrazcev za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter za dokumentiranje kršitve varnosti osebnih podatkov; obrazcev za predhodno posvetovanje z nadzornim organom in njegovo obveščanje, glede na to, da se ti akti splošno uporabljajo.

Predlog spremembe  94

Predlog uredbe

Uvodna izjava 132

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Komisija bi morala sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva, in v zvezi z zadevami, o katerih Komisijo v okviru mehanizma za skladnost obvestijo nadzorni organi.

črtano

Predlog spremembe  95

Predlog uredbe

Uvodna izjava 134

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(134) S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Sklepi, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in odobritve s strani nadzornih organov bi morali ostati v veljavi.

(134) S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Sklepi, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in odobritve s strani nadzornih organov bi morali ostati v veljavi. Sklepi Komisije in odobritve nadzornih organov, ki so povezani s prenosi osebnih podatkov v tretje države v skladu s členom 41(8), bi morali ostati v veljavi za prehodno obdobje petih let od začetka veljavnosti te uredbe, razen če jih Komisija spremeni, nadomesti ali razveljavi pred koncem tega obdobja.

Predlog spremembe  96

Predlog uredbe

Člen 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Stvarno področje uporabe

Stvarno področje uporabe

1. Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

1. Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi, ne glede na metodo obdelave, in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

2. Ta uredba se ne uporablja za obdelavo osebnih podatkov:

2. Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a) v okviru dejavnosti zunaj področja uporabe zakonodaje Unije, zlasti v zvezi z nacionalno varnostjo;

(a) v okviru dejavnosti zunaj področja uporabe prava Unije;

(b) s strani institucij, organov, uradov in agencij Unije;

 

(c) s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 Pogodbe o Evropski uniji;

(c) s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji;

(d) s strani fizične osebe brez kakršnega koli pridobitnega interesa v teku lastne izrecno osebne ali domače dejavnosti;

(d) s strani fizične osebe med potekom izključno osebne ali domače dejavnosti. Ta izjema se uporablja tudi za objavo osebnih podatkov, kadar se lahko upravičeno pričakuje, da jih bo dostopalo le omejeno število oseb;

(e) s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

(e) s strani pristojnih javnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

3. Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

3. Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

Predlog spremembe  97

Predlog uredbe

Člen 3

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Ozemeljsko področje uporabe

Ozemeljsko področje uporabe

1. Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji.

1. Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji, ne glede na to, ali se ti podatki obdelujejo v Uniji ali ne.

2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z:

2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z:

(a) nudenjem blaga ali storitev takim posameznikom v Uniji ali

 

(a) nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo takšnega posameznika, ali

(b) spremljanjem njihovega vedenja.

(b) spremljanjem takšnih posameznikov.

3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se nacionalna zakonodaja države članice uporablja na podlagi mednarodnega javnega prava.

3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se nacionalna zakonodaja države članice uporablja na podlagi mednarodnega javnega prava.

Predlog spremembe  98

Predlog uredbe

Člen 4

Besedilo, ki ga predlaga Komisija

Predlog spremembe

V tej uredbi:

V tej uredbi:

V tej uredbi:

V tej uredbi:

(1) „posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;

 

(2) „osebni podatki“ pomenijo vsako informacijo v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(2) „osebni podatki“ pomenijo katere koli informacije, ki se nanašajo na določeno ali določljivo fizično osebo („posameznik, na katerega se nanašajo osebni podatki”); določljiva oseba je tista, ki se lahko neposredno ali posredno določi, zlasti s pomočjo identifikatorjev, kot so ime, identifikacijska številka, podatki o lokaciji, edinstveni identifikator ali eden ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno, družbeno ali spolno identiteto te osebe;

 

(2a) „psevdonimizirani podatki“ pomenijo osebne podatke, ki jih brez dodatnih informacij ni mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje nepripisovanja;

 

(2b) „šifrirani podatki“ pomenijo osebne podatke, ki so zaradi tehnoloških zaščitnih ukrepov nerazumljivi vsaki osebi, ki ni pooblaščena za dostop do njih;

(3) „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, izbris ali uničenje;

(3) „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, izbris ali uničenje;

 

(3a) „oblikovanje profilov“ pomeni vsako obliko samodejne obdelave osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe;

(4) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(4) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(5) „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(5) „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(6) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(6) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(7) „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki so mu bili osebni podatki razkriti;

(7) „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki so mu bili osebni podatki razkriti;

 

(7a) „tretja stranka“ pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in oseba, ki je neposredno podrejena upravljavcu ali obdelovalcu, ki je pooblaščen za obdelavo podatkov;

(8) „privolitev posameznika, na katerega se nanašajo osebni podatki“, pomeni vsako prostovoljno dano posebno, informirano in izrecno izjavo volje posameznika, s katero posameznik, na katerega se nanašajo osebni podatki, z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo podatkov, ki se nanašajo nanj;

(8) „privolitev posameznika, na katerega se nanašajo osebni podatki“, pomeni vsako prostovoljno dano posebno, informirano in izrecno izjavo volje posameznika, s katero posameznik, na katerega se nanašajo osebni podatki, z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo podatkov, ki se nanašajo nanj;

(9) „kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(9) „kršitev varnosti osebnih podatkov“ pomeni nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(10) „genetski podatki“ pomenijo vse podatke ne glede na njihovo vrsto v zvezi z značilnostmi posameznika, ki so podedovane ali pridobljene v zgodnjem prenatalnem obdobju;

(10) „genetski podatki“ pomenijo vse osebne podatke, povezane z genetskimi značilnostmi posameznika, ki so bile podedovane ali pridobljene, kot izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize kakršnega koli drugega elementa, ki zagotavlja enakovredne informacije;

(11) „biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(11) „biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(12) „podatki o zdravstvenem stanju“ pomenijo vsako informacijo, ki se nanaša na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(12) „podatki o zdravstvenem stanju“ pomenijo vse osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(13) „glavni sedež“ v zvezi z upravljavcem pomeni kraj ustanovitve v Uniji, kjer se sprejemajo glavne odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov; če se odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov ne sprejemajo v Uniji, je glavni sedež kraj, v katerem se izvajajo glavni postopki obdelave v okviru dejavnosti ustanovitve upravljavca v Uniji. V zvezi z obdelovalcem „glavni sedež“ pomeni kraj njegove osrednje uprave v Uniji;

(13) „glavni sedež“ pomeni kraj ustanovitve podjetja ali povezanih družb v Uniji, bodisi upravljavca bodisi obdelovalca, kjer se sprejemajo glavne odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov. Med drugim se lahko upoštevajo naslednja objektivna merila: lokacija sedeža upravljavca ali obdelovalca; lokacija subjekta znotraj povezane družbe, ki je glede vodstvenih funkcij in upravnih odgovornosti najbolj primeren za obravnavo in izvrševanje pravil iz te uredbe; lokacije, kjer se izvajajo dejanske in resnične vodstvene dejavnosti, ki s stabilnimi ureditvami določajo obdelavo podatkov;

(14) „predstavnik“ pomeni vsako fizično ali pravno osebo, ustanovljeno v Uniji, ki jo je izrecno imenoval upravljavec in ki v Uniji deluje namesto upravljavca, nadzorni organi in drugi organi v Uniji pa se lahko namesto na upravljavca nanjo obrnejo v zvezi z obveznostmi upravljavca iz te uredbe;

(14) „predstavnik“ pomeni vsako fizično ali pravno osebo s sedežem v Uniji, ki jo je izrecno imenoval upravljavec in ki v Uniji zastopa upravljavca v zvezi njegovimi obveznostmi iz te uredbe;

(15) „podjetje“ pomeni vsak subjekt, ki opravlja gospodarsko dejavnost, ne glede na njegovo pravno obliko, in obsega zlasti fizične in pravne osebe, partnerstva ali združenja, ki redno opravljajo gospodarsko dejavnost;

(15) „podjetje“ pomeni vsak subjekt, ki opravlja gospodarsko dejavnost, ne glede na njegovo pravno obliko, in obsega zlasti fizične in pravne osebe, partnerstva ali združenja, ki redno opravljajo gospodarsko dejavnost;

(16) „povezane družbe“ pomenijo obvladujočo družbo in njene odvisne družbe;

(16) „povezane družbe“ pomenijo obvladujočo družbo in njene odvisne družbe;

(17) „zavezujoča poslovna pravila“ pomenijo politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec, ustanovljen na ozemlju države članice Unije, upošteva pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe v eni ali več tretjih državah;

(17) „zavezujoča poslovna pravila“ pomenijo politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec, ustanovljen na ozemlju države članice Unije, upošteva pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe v eni ali več tretjih državah;

(18) „otrok“ pomeni osebo, mlajšo od 18 let;

(18) „otrok“ pomeni osebo, mlajšo od 18 let;

(19) „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 46 ustanovi država članica.

(19) „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 46 ustanovi država članica.

Predlog spremembe  99

Predlog uredbe

Člen 5

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Načela v zvezi z obdelavo osebnih podatkov

Načela v zvezi z obdelavo osebnih podatkov

1. Osebni podatki morajo biti:

1. Osebni podatki so:

(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (zakonitost, pravičnost in preglednost);

(b) zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni;

(b) zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni (omejitev namena);

(c) primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki;

(c) primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki (zmanjšanje količine podatkov na najmanjšo možno mero);

(d) točni in posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;

(d) točni in po potrebi posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (natančnost);

(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki so lahko shranjeni dalj časa, če bodo podatki obdelani v zgodovinske, statistične ali znanstvenoraziskovalne namene v skladu s pravili in pogoji iz člena 83 in če se redno preverja potreba po nadaljnjem shranjevanju podatkov;

(e) shranjeni v obliki, ki dopušča neposredno ali posredno identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki so lahko shranjeni dalj časa, če bodo podatki obdelani v zgodovinske, statistične ali znanstvenoraziskovalne ali pa arhivske namene v skladu s pravili in pogoji iz člena 83 in 83a in če se redno preverja potreba po nadaljnjem shranjevanju podatkov, poleg tega pa morajo biti vzpostavljeni ustrezni tehnični in organizacijski ukrepi za omejevanje dostopa do podatkov le za te namene (zmanjšanje hrambe na najmanjšo možno mero);

 

(ea) obdelani na način, ki posamezniku, na katerega se nanašajo, omogoča učinkovito uveljavljanje njegovih pravic (učinkovitost);

 

(eb) obdelani na način, ki ščiti pred nedovoljeno ali nezakonito obdelavo ter pred naključno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost);

(f) obdelani v okviru pristojnosti in odgovornosti upravljavca, ki za vsak postopek obdelave zagotovi in dokaže skladnost z določbami te uredbe.

(f) obdelani v okviru pristojnosti in odgovornosti upravljavca, ki zagotovi in je zmožen dokazati skladnost z določbami te uredbe (odgovornost).

Predlog spremembe  100

Predlog uredbe

Člen 6

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Zakonitost obdelave

Zakonitost obdelave

1. Obdelava osebnih podatkov je zakonita le, če je izpolnjen vsaj eden od naslednjih pogojev:

1. Obdelava osebnih podatkov je zakonita le, če je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki;

(d) obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi pravnih interesov, za katere si prizadeva upravljavec, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. To ne velja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

(f) obdelava je potrebna zaradi pravnih interesov, za katere si prizadeva upravljavec ali, v primeru razkritja, tretja stranka, kateri se podatki razkrijejo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. To ne velja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Obdelava osebnih podatkov, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, je zakonita pod pogoji in v skladu z zaščitnimi ukrepi iz člena 83.

2. Obdelava osebnih podatkov, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, je zakonita pod pogoji in v skladu z zaščitnimi ukrepi iz člena 83.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 mora biti določena v:

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 mora biti določena v:

(a) zakonodaji Unije ali

(a) pravu Unije ali

(b) zakonodaji države članice, ki se uporablja za upravljavca.

(b) pravu države članice, ki se uporablja za upravljavca.

Zakonodaja države članice mora izpolnjevati cilj javnega interesa ali biti potrebna zaradi varstva pravic in svoboščin drugih, spoštovati bistveno vsebino pravice do varstva osebnih podatkov in biti sorazmerna z zakonitim ciljem, za katerega si prizadeva.

Zakonodaja države članice mora izpolnjevati cilj javnega interesa ali biti potrebna zaradi varstva pravic in svoboščin drugih, spoštovati bistveno vsebino pravice do varstva osebnih podatkov in biti sorazmerna z zakonitim ciljem, za katerega si prizadeva. V mejah te uredbe, pravo države članice lahko ureja podrobnosti v zvezi z zakonitostjo obdelave, zlasti v zvezi z upravljavcem, namenom obdelave in omejitve glede na namen, z naravo podatkov, posamezniki, na katere se osebni podatki nanašajo, ukrepi in postopki obdelave, s prejemniki ter z rokom shranjevanja.

4. Če namen nadaljnje obdelave ni skladen z namenom, za katerega so bili osebni podatki zbrani, mora imeti obdelava pravno podlago v vsaj enem od razlogov iz točk (a) do (e) odstavka 1. To velja zlasti za vsako spremembo splošnih pogodbenih pogojev.

 

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi pogoje iz točke (f) odstavka 1 za različne sektorje in primere obdelave podatkov, vključno z obdelavo osebnih podatkov v zvezi z otrokom.

 

Predlog spremembe  101

Predlog uredbe

Člen 7

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pogoji za privolitev

Pogoji za privolitev

1. Upravljavec mora dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v določene namene.

1. Kadar obdelava temelji na privolitvi, mora upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v določene namene.

2. Če bo privolitev posameznika, na katerega se nanašajo osebni podatki, podana v pisni izjavi, ki se nanaša tudi na drugo zadevo, se mora zahteva glede privolitve po videzu jasno razlikovati od te druge zadeve.

2. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, podana v pisni izjavi, ki se nanaša tudi na drugo zadevo, se mora zahteva glede privolitve po videzu jasno razlikovati od te druge zadeve. Določbe o privolitvi posameznika, na katerega se nanašajo osebni podatki, ki deloma kršijo to uredbo, so v popolnoma neveljavne.

3. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

3. Posameznik, na katerega se nanašajo osebni podatki, ima ne glede na druge pravne podlage za obdelavo pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Privolitev je enako enostavno preklicati kot dati. Posameznik, na katerega se nanašajo osebni podatki, se obvesti, če bi se zaradi preklica lahko ukinilo storitve, ki jih nudi, ali razmerje z upravljavcem.

4. Privolitev ne pomeni pravne podlage za obdelavo, če obstaja veliko neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem.

4. Privolitev je vezana na namen in postane neveljavna, kadar namen ni več podan ali takoj, ko obdelava osebnih podatkov ni več potrebna za izvajanje namena, zaradi katerega se jih je prvotno zbiralo. Izvrševanje pogodbe ali zagotavljanje storitve ni odvisno od privolitve za obdelavo ali uporabo podatkov, ki niso potrebni za izvrševanje pogodbe ali zagotavljanje storitve skladno s členom 6(1), točka (b).

Predlog spremembe  102

Predlog uredbe

Člen 8

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obdelava osebnih podatkov otroka

Obdelava osebnih podatkov otroka

1. Za namene te uredbe je v zvezi s storitvami informacijske družbe, ki se neposredno zagotavljajo otroku, obdelava osebnih podatkov otroka, mlajšega od 13 let, zakonita le, če in v obsegu, v katerem privolitev da ali odobri starš ali skrbnik otroka. Upravljavec si ob upoštevanju razpoložljive tehnologije razumno prizadeva za pridobitev privolitve, ki jo je mogoče preveriti.

1. Za namene te uredbe je v zvezi z blagom ali storitvami, ki se neposredno zagotavljajo otroku, obdelava osebnih podatkov otroka, mlajšega od 13 let, zakonita le, če in v obsegu, v katerem privolitev da ali odobri starš ali zakoniti skrbnik otroka. Upravljavec si ob upoštevanju razpoložljive tehnologije razumno prizadeva, da preveri takšno privolitev, ne da bi pri tem povzročil nepotrebno obdelavo osebnih podatkov.

 

1a. Informacije, dane otrokom, staršem in zakonitim skrbnikom otroka, za izraz privolitve, vključno o zbiranju in uporabi osebnih podatkov s strani upravljavca, se morajo podati v jasnem jeziku, ki je primeren glede na publiko, ki so jim namenjene.

2. Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, obliki ali učinku pogodbe v zvezi z otrokom.

2. Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, obliki ali učinku pogodbe v zvezi z otrokom.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 1. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

3. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izda smernice, priporočila in zglede najboljše prakse v skladu s členom 66 za metode za preverjanja privolitve iz odstavka 1.

4. Komisija lahko določi standardne obrazce za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  103

Predlog uredbe

Člen 9

Besedilo, ki ga predlaga Komisija

Predlog spremembe

obdelave posebnih vrst podatkov;

Posebne kategorije podatkov

1. Prepovedana je obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično prepričanje, vero ali prepričanje, članstvo v sindikatu, genetske podatke, podatke v zvezi z zdravjem ali spolnim življenjem, kazenskimi obsodbami ali s tem povezanimi varnostnimi ukrepi.

1. Prepovedana je obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično, versko ali filozofsko prepričanje, spolno usmerjenost ali identiteto, članstvo in dejavnosti v sindikatu in obdelava genetskih ali biometričnih podatkov, podatkov v zvezi z zdravjem ali spolnim življenjem, upravnimi kaznimi, sodbami, kaznivimi dejanji ali sumom kaznivih dejanj, obsodbami ali s tem povezanimi varnostnimi ukrepi.

2. Odstavek 1 se ne uporablja, kadar:

2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a) je posameznik, na katerega se nanašajo osebni podatki, pod pogoji iz členov 7 in 8 dal svojo privolitev k obdelavi navedenih osebnih podatkov, razen kadar zakonodaja Unije ali zakonodaja držav članic določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1, ali

(a) je posameznik, na katerega se nanašajo osebni podatki, pod pogoji iz členov 7 in 8 dal svojo privolitev k obdelavi navedenih osebnih podatkov za en ali več določenih namenov, razen kadar zakonodaja Unije ali zakonodaja držav članic določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1, ali

 

(aa) je obdelava potrebna za izvajanje in izvrševanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali da se na zahtevo posameznika, na katerega se nanašajo osebni podatki, izvedejo ukrepi pred sklenitvijo pogodbe, ali

(b) je obdelava potrebna zaradi izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca na področju prava zaposlovanja, če to dovoljuje zakonodaja Unije ali zakonodaja držav članic, ki zagotavlja ustrezne zaščitne ukrepe, ali

(b) je obdelava potrebna zaradi izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca na področju prava zaposlovanja, če to dovoljuje pravo Unije ali pravo držav članic ali kolektivni sporazumi, ki zagotavljajo ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju pogojev in zaščitnih ukrepov iz člena 82, ali

(c) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar je posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno nesposoben dati svojo privolitev, ali

(c) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati svoje privolitve, ali

(d) obdelavo izvaja v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi ustanova, združenje ali kateri koli drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne posredujejo zunaj tega organa brez privolitve posameznikov, na katere se nanašajo osebni podatki, ali

(d) obdelavo izvaja v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi ustanova, združenje ali kateri koli drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne posredujejo zunaj tega organa brez privolitve posameznikov, na katere se nanašajo osebni podatki, ali

(e) je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, ali

(e) je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, ali

(f) je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

 

(f) je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

(g) je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu, na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(g) je obdelava potrebna za opravljanje naloge, ki se izvaja v visokem javnem interesu, na podlagi prava Unije ali prava držav članic, ki je sorazmerna s ciljem, za katerega si prizadeva, spoštuje bistvo pravice do varstva podatkov in zagotavlja primerne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki, ali

(h) je obdelava podatkov v zvezi z zdravjem potrebna v zdravstvene namene in je v skladu s pogoji in zaščitnimi ukrepi iz člena 81, ali

(h) je obdelava podatkov v zvezi z zdravjem je potrebna v zdravstvene namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 81, ali

(i) je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene in je v skladu s pogoji in zaščitnimi ukrepi iz člena 83, ali

(i) je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 83, ali

 

(ia) je obdelava potrebna za storitve arhiviranja, za katere veljajo pogoji in zaščitni ukrepi iz člena 83a, ali

(j) se obdelava podatkov v zvezi s kazenskimi obsodbami ali s tem povezanimi varnostnimi ukrepi izvaja pod nadzorom uradnega organa ali kadar je obdelava potrebna zaradi skladnosti z zakonsko ali regulativno obveznostjo, ki velja za upravljavca, ali zaradi opravljanja naloge, izvedene zaradi pomembnega javnega interesa, in če zakonodaja Unije ali zakonodaja držav članic zagotavlja ustrezne zaščitne ukrepe. Popoln register kazenskih obsodb se vodi samo pod nadzorom uradnega organa.

(j) se obdelava podatkov v zvezi z upravnimi kaznimi, sodbami, kaznivimi dejanji, obsodbami ali s tem povezanimi varnostnimi ukrepi izvaja pod nadzorom uradnega organa ali kadar je obdelava potrebna zaradi skladnosti z zakonsko ali regulativno obveznostjo, ki velja za upravljavca, ali zaradi opravljanja naloge, izvedene zaradi pomembnega javnega interesa, in če zakonodaja Unije ali zakonodaja držav članic zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki. Vsak register kazenskih obsodb se vodi samo pod nadzorom uradnega organa.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila, pogoje in ustrezne zaščitne ukrepe za obdelavo posebnih vrst osebnih podatkov iz odstavka 1 ter izjeme iz odstavka 2.

3. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izda smernice, priporočila in zglede najboljše prakse v skladu s členom 66 za obdelavo posebnih vrst osebnih podatkov iz odstavka 1 ter izjeme iz odstavka 2.

Predlog spremembe  104

Predlog uredbe

Člen 10

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec ni zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.

1. Če podatki, ki jih upravljavec obdeluje, upravljavcu ali obdelovalcu ne omogočajo neposredne ali posredne identifikacije fizične osebe ali če jih sestavljajo zgolj psevdonomizirani podatki, potem upravljavec ne obdeluje ali pridobiva dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.

 

2. Če upravljavec podatkov ne more izpolniti določbe iz te uredbe zaradi odstavka 1, potem ni zavezan izpolnjevanju zadevne določbe iz te uredbe. Še upravljavec podatkov posledično ne more izpolniti zahteve posameznika, na katerega se nanašajo osebni podatki, potem ga o tem ustrezno obvesti.

Predlog spremembe  105

Predlog uredbe

Člen 10 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 10 a

 

Splošna načela za pravice posameznika, na katerega se nanašajo osebni podatki

 

1. Osnova za varstvo podatkov so jasne in nedvoumne pravice za posameznika, na katerega se nanašajo osebni podatki, ki jih upravljavec podatkov spoštuje. Namen določb te uredbe je okrepiti, pojasniti, zagotoviti in, kjer je ustrezno, kodificirati te pravice.

 

2. Te pravice med drugim zajemajo zagotavljanje jasnih in lahko razumljivih informacij v zvezi z obdelavo osebnih podatkov posameznika, pravico do dostopa, popravkov in brisanja osebnih podatkov, pravico do pridobitve podatkov, pravico ugovora oblikovanju profila, pravico do vložitve pritožbe pri pristojnem organu za varstvo podatkov in do začetka pravnega postopka ter pravico do nadomestila in odškodnine zaradi nezakonitega postopka obdelave. Te pravice se na splošno zagotavljajo brezplačno. Upravljavec podatkov se na zahtevo posameznika, na katerega se nanašajo osebni podatki, odzove v razumnem roku.

Predlog spremembe  106

Predlog uredbe

Člen 11

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Upravljavec v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, uporablja pregledne in lahko dostopne politike.

1. Upravljavec v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, uporablja natančne, pregledne in lahko dostopne politike.

2. Upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in sporočila, povezane z obdelavo osebnih podatkov, zagotovi v razumljivi obliki ter jasnem in razumljivem jeziku, prilagojenem posamezniku, na katerega se nanašajo osebni podatki, kar velja zlasti za informacije, posebej namenjene otroku.

2. Upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in sporočila, povezane z obdelavo osebnih podatkov, zagotovi v razumljivi obliki ter jasnem in razumljivem jeziku, kar velja zlasti za informacije, posebej namenjene otroku.

Predlog spremembe  107

Predlog uredbe

Člen 12

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Upravljavec določi postopke za zagotavljanje informacij iz člena 14 in za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, iz člena 13 in členov 15 do 19. Upravljavec zagotovi zlasti mehanizme za omogočanje zahtev za ukrepe iz člena 13 in členov 15 do 19. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, upravljavec zagotovi tudi sredstva za elektronsko vložitev zahtev.

1. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, upravljavec zagotovi tudi sredstva za elektronsko vložitev zahtev, kjer je možno.

2. Upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma in najpozneje v enem mesecu po prejemu zahteve obvesti, ali je bil sprejet kakšen ukrep v skladu s členom 13 in členi 15 do 19, ter zagotovi zahtevane informacije. Ta rok se lahko podaljša za dodaten mesec, če pravice izvršuje več posameznikov, na katere se nanašajo osebni podatki, in je njihovo sodelovanje v razumni meri potrebno za preprečitev nepotrebnega in nesorazmernega napora s strani upravljavca. Informacije se predložijo v pisni obliki. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

2. Upravljavec posameznika, na katerega se nanašajo osebni podatki, brez neupravičenega odlašanja in najpozneje v 40 koledarskih dneh po prejemu zahteve obvesti, ali je bil sprejet kakšen ukrep v skladu s členom 13 in členi 15 do 19, ter zagotovi zahtevane informacije. Ta rok se lahko podaljša za dodaten mesec, če pravice izvršuje več posameznikov, na katere se nanašajo osebni podatki, in je njihovo sodelovanje v razumni meri potrebno za preprečitev nepotrebnega in nesorazmernega napora s strani upravljavca. Informacije se predložijo v pisni obliki, kjer je možno, pa lahko upravljavec podatkov zagotovi dostop na daljavo do varnega sistema, ki posamezniku, na katerega se nanašajo osebni podatki, omogoča neposreden dostop do osebnih podatkov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije, kjer je možno, zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

3. Če upravljavec zavrne ukrepanje na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o razlogih za zavrnitev ter o možnosti vložitve pritožbe pri nadzornem organu in pravnih sredstvih.

3. Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in pravnih sredstvih.

4. Informacije in ukrepi, sprejeti na podlagi zahtev iz odstavka 1, so brezplačni. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko upravljavec zaračuna pristojbino za zagotavljanje informacij ali izvajanje zahtevanih ukrepov ali pa ne izvede zahtevanega ukrepa. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve upravljavec.

4. Informacije in ukrepi, sprejeti na podlagi zahtev iz odstavka 1, so brezplačni. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko upravljavec zaračuna razumno pristojbino, ki upošteva upravne stroške zagotavljanja informacij ali izvajanja zahtevanih ukrepov. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve upravljavec.

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za očitno čezmerne zahteve in pristojbine iz odstavka 4.

 

6. Komisija lahko določi standardne obrazce in standardne postopke za sporočila iz odstavka 2, vključno z elektronsko obliko. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  108

Predlog uredbe

Člen 13

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravice v zvezi s prejemniki

Obveznost poročanja glede popravkov in izbrisov

Upravljavec vsakemu prejemniku, ki so mu podatki posredovani, sporoči morebitne popravke ali izbrise v skladu s členoma 16 in 17, razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor.

Upravljavec vsakemu prejemniku, ki so mu podatki posredovani, sporoči morebitne popravke ali izbrise v skladu s členoma 16 in 17, razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o teh prejemnikih, če posameznik tako zahteva.

Predlog spremembe  109

Predlog uredbe

Člen 13 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 13a

 

Standardizirani načini informiranja

 

1. Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred zagotavljanjem informacij v skladu s členom 14 zagotovi informacije o tem,:

 

(a) ali se osebni podatki zbirajo v večjem obsegu, kot je nujno potrebno za posamezni namen obdelave;

 

(b) ali se osebni podatki hranijo dlje, kot je nujno potrebno za posamezni namen obdelave;

 

(c) ali se osebni podatki obdelujejo za namene, ki se razlikujejo od teh, za katere so bili zbrani;

(d) ali se osebni podatki posredujejo komercialnim tretjim strankam;

 

(e) ali so osebni podatki predani ali se oddajajo;

 

(f) ali se osebni podatki hranijo v šifrirani obliki.

 

2. Navedbe iz odstavka 1 so podane v skladu s Prilogo X v obliki poravnane tabele, z besedilom in znaki v sledečih treh stolpcih:

 

(a) v prvem stolpcu so podani grafični znaki, ki povzemajo navedbe;

 

(b) v drugem stolpcu so podane osnovne informacije o navedbah;

 

(c) v tretjem stolpcu so podani grafični znaki, ki povedo, ali je določena navedba resnična.

 

3. Informacije iz odstavkov 1 in 2 so predstavljene v jasno razvidni in berljivi obliki in v jeziku, ki ga potrošniki v državah članicah, katerim so informacije namenjene, brez težav razumejo. Če so navedbe podane v elektronski obliki, so strojno berljive.

 

4. Dodatne informacije niso posredovane. Podrobne razlage ali dodatna pojasnila v zvezi s podatki iz odstavka 1 se lahko posredujejo skupaj z drugimi zahtevami glede informiranja v skladu s členom 14.

 

5. Potem ko Evropski odbor za varstvo podatkov zaprosi za mnenje, se na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 86 , s katerimi podrobneje določi podrobnosti iz odstavka 1 in njihovo predstavitev iz odstavka 2 in Priloge 1.

Predlog spremembe  110

Predlog uredbe

Člen 14

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki

Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1. Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi vsaj naslednje:

1. Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, potem, ko se zagotovijo podatki v skladu s členom 13a, zagotovi:

(a) informacije o identiteti upravljavca, njegovega predstavnika, če obstaja, in uradne osebe za varstvo podatkov ter njihove kontaktne podatke;

(a) informacije o identiteti upravljavca, njegovega predstavnika, če obstaja, in uradne osebe za varstvo podatkov ter njihove kontaktne podatke;

(b) informacije o namenih obdelave osebnih podatkov, vključno s splošnimi pogodbenimi pogoji, če obdelava temelji na točki (b) člena 6(1), in pravnih interesih, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

(b) informacije o namenih obdelave osebnih podatkov, pa tudi o varnosti obdelave osebnih podatkov, vključno s splošnimi pogodbenimi pogoji, če obdelava temelji na točki (b) člena 6(1) in po potrebi o načinu izvajanja in izpolnjevanja zahtev iz točke (f) člena 6(1);

(c) informacije o roku shranjevanja osebnih podatkov;

(c) informacije o roku hrambe osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja;

(d) informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(d) informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov ali pridobitvi podatkov;

(e) informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(e) informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(f) informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov;

(f) informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov;

(g) kjer je primerno, informacije o tem, da namerava upravljavec prenesti podatke v tretjo državo ali mednarodno organizacijo, in o ravni varstva, ki jo nudi ta tretja država ali mednarodna organizacija s sklicem na sklep Komisije o ustreznosti;

(g) kjer je primerno, informacije o tem, da namerava upravljavec prenesti podatke v tretjo državo ali mednarodno organizacijo, o obstoju oziroma neobstoju sklepa Komisije o ustreznosti ali, v primeru prenosov iz člena 42, 43 ali točke (h) člena 44(1), s sklicem na ustrezne zaščitne ukrepe in sredstva za pridobitev dvojnika;

 

(ga) po potrebi informacije o obstoju oblikovanja profilov, ukrepov, ki temeljijo na oblikovanju profilov in predvidenih učinkih oblikovanja profilov na posameznika, na katerega se nanašajo osebni podatki;

 

(gb) smiselno razlago logike, ki velja za vsako samodejno obdelavo;

(h) vse nadaljnje informacije, potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se zbirajo osebni podatki.

(h) vse nadaljnje informacije, ki so potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se zbirajo ali obdelujejo osebni podatki, zlasti o obstoju določenih obdelovalnih dejavnosti in operacij, za katere so ocene učinkov osebnih podatkov pokazale visoko raven tveganosti;

 

(ha) po potrebi informacije o tem, ali so bili podatki posredovani javnim organom v zadnjem nepretrganem dvanajstmesečnem obdobju.

2. Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali prostovoljna in o možnih posledicah, če se taki podatki ne zagotovijo.

2. Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali neobvezna, in o možnih posledicah, če se taki podatki ne zagotovijo.

 

2a. Pri odločanju o nadaljnjih informacijah, potrebnih za pošteno obdelavo po točki (h) odstavka 1, morajo upravljavci upoštevati vsa zadevna navodila iz člena 38.

3. Če se osebni podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, od kod ti osebni podatki izvirajo.

3. Če se osebni podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, od kod določeni osebni podatki izvirajo. Če osebni podatki izvirajo iz javno dostopnih virov, se lahko da splošna navedba.

4. Upravljavec zagotovi informacije iz odstavkov 1, 2 in 3:

4. Upravljavec zagotovi informacije iz odstavkov 1, 2 in 3:

(a) ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki, ali

(a) ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki, ali brez neupravičenega odlašanja, kadar zgoraj navedeni ni izvedljivo, ali

 

(aa) na zahtevo organa, organizacije ali združenja iz člena 73;

(b) ali (b) kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju ali, če je predvideno razkritje drugemu prejemniku, najpozneje takrat, ko so podatki prvič razkriti, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo ali kako drugače obdelajo.

(b) kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju ali, če je predvideno posredovanje drugemu prejemniku, najpozneje takrat, ko so podatki prvič posredujejo, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo ali kako drugače obdelajo, ali če se bodo podatki uporabili za komuniciranje z zadevno osebo, najkasneje ob prvem komuniciranju s to osebo, ali

 

(ba) samo na zahtevo, kadar podatke obdeluje malo ali mikropodjetje, za katero je obdelava podatkov zgolj dodatna dejavnost.

5. Odstavki 1 do 4 se ne uporabljajo, kadar:

5. Odstavki 1 do 4 se ne uporabljajo, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, že ima informacije iz odstavkov 1, 2 in 3, ali

(a) posameznik, na katerega se nanašajo osebni podatki, že ima informacije iz odstavkov 1, 2 in 3, ali

(b) se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in se zagotavljanje takih informacij izkaže za nemogoče ali bi vključevalo nesorazmeren napor, ali

(b) podatki, ki so obdelani za zgodovinske, statistične ali znanstvenoraziskovalne namene, za katere veljajo pogoji in zaščitni ukrepi iz členov 81 in 83, se ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in se zagotavljanje takih informacij izkaže za nemogoče ali bi vključevalo nesorazmeren napor in je upravljavec javno objavil podatke, ali

(c) se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in je beleženje ali razkritje izrecno določeno z zakonom, ali

(c) se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in je beleženje ali razkritje izrecno določeno z zakonom, ki velja za upravljavca in ki določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, glede na tveganja, ki jih pomenita obdelava in narava osebnih podatkov, ali

(d) se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, ter zagotavljanje takih informacij škoduje pravicam in svoboščinam drugih, kot je določeno v zakonodaji Unije ali zakonodaji držav članic v skladu s členom 21.

(d) se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, ter zagotavljanje takih informacij škoduje pravicam in svoboščinam drugih fizičnih oseb, kot je določeno v zakonodaji Unije ali zakonodaji držav članic v skladu s členom 21;

 

(da) podatke prejme v obdelavo v okviru svoje poslovne dejavnosti, oziroma so zaupani ali posredovani v vednost osebi, za katero velja obveznost poklicne molčečnosti, ki jo ureja pravo Unije ali države članice, ali statutarna obveznost poklicne molčečnosti, razen če so podatki zbrani neposredno od posameznika, na katerega se obdelava osebnih podatkov nanaša.

6. V primeru iz točke (b) odstavka 5 upravljavec zagotovi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki.

6. V primeru iz točke (b) odstavka 5 upravljavec zagotovi ustrezne ukrepe za zaščito pravic ali zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

7. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila glede vrst prejemnikov iz točke (f) odstavka 1, zahteve glede obvestila o morebitnem dostopu iz točke (g) odstavka 1, merila za nadaljnje informacije iz točke (h) odstavka 1, potrebne za določene sektorje in primere, ter pogoje in ustrezne zaščitne ukrepe za izjeme iz točke (b) odstavka 5. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja.

 

8. Komisija lahko določi standardne obrazce za zagotavljanje informacij iz odstavkov 1 do 3, pri čemer po potrebi upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  111

Predlog uredbe

Člen 15

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica do dostopa za posameznika, na katerega se nanašajo osebni podatki

Pravica do dostopa in do pridobivanja podatkov za posameznika, na katerega se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, lahko od upravljavca na zahtevo kadar koli pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če se taki osebni podatki obdelujejo, upravljavec zagotovi naslednje:

1. Ob upoštevanju člena 12(4) lahko posameznik, na katerega se nanašajo osebni podatki, od upravljavca na zahtevo kadar koli pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne, ter naslednje informacije v jasnem in preprostem jeziku:

(a) informacije o namenih obdelave;

(a) informacije o namenih obdelave za vsako vrsto osebnih podatkov;

(b) informacije o vrstah zadevnih osebnih podatkov;

(b) informacije o vrstah zadevnih osebnih podatkov;

(c) informacije o prejemnikih ali vrstah prejemnikov, ki jim bodo ali so jim bili posredovani osebni podatki, zlasti prejemnikih v tretjih državah;

(c) informacije o prejemnikih, ki jim bodo ali so jim bili posredovani osebni podatki, vključno o prejemnikih v tretjih državah;

(d) informacije o roku shranjevanja osebnih podatkov;

(d) informacije o roku hranjenja osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja;

(e) informacije o obstoju pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(e) informacije o obstoju pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(f) informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(f) informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g) sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom;

 

(h) informacije o pomenu in predvidenih posledicah take obdelave, vsaj v primeru ukrepov iz člena 20.

(h) informacije o pomenu in predvidenih posledicah take obdelave;

 

(ha) smiselno razlago logike, ki velja za vsako samodejno obdelavo;

 

(hb) brez poseganja v člen 21, v primeru razkritja osebnih podatkov javnemu organu na zahtevo javnega organa, potrditev, da je bila podana taka zahteva.

2. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca pridobiti sporočilo o osebnih podatkih, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

2. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca pridobiti sporočilo o osebnih podatkih, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski in strukturirani obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki. Ne glede na člen 10 si upravljavec z vsemi primernimi ukrepi prizadeva preveriti, ali je oseba, ki zahteva dostop do podatkov, posameznik, na katerega se nanašajo osebni podatki.

 

2a. Ko je posameznik, na katerega se nanašajo osebni podatki, posredoval osebne podatke in se osebni podatki obdelujejo z elektronskimi sredstvi, ima ta posameznik pravico, da od upravljavca zahteva kopijo posredovanih podatkov v elektronski in interoperabilni obliki v splošni rabi, ki omogoča nadaljnjo uporabo s strani posameznika, na katerega se nanašajo osebni podatki, ne da bi ga upravljavec ali obdelovalec podatkov, od katerega se ti podatki pridobijo, pri tem oviral. Če je to tehnično izvedljivo in je ta možnost na voljo, se podatki na zahtevo posameznika, na katerega se nanašajo osebni podatki, prenašajo neposredno od upravljavca do upravljavca.

 

2b. Ta člen ne posega v obveznost izbrisa podatkov, ko niso več potrebni, v skladu s točko (e)člena 5(1).

 

2c. Dostop v skladu z odstavkoma 1 in 2 ni dovoljen, kadar se nanaša na podatke v smislu točke (da) člena 14(5), razen če je oseba, na katero so nanašajo osebni podatki, pooblaščena, da odstrani njihovo tajnost in v zvezi s tem ustrezno ukrepa;

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obveščanje posameznika, na katerega se nanašajo osebni podatki, o vsebini osebnih podatkov iz točke (g) odstavka 1.

 

4. Komisija lahko določi standardne obrazce in postopke za zahtevanje informacij in omogočanje dostopa do informacij iz odstavka 1, tudi za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki, in za sporočanje osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, pri čemer upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  112

Predlog uredbe

Člen 17

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica biti pozabljen in pravica do izbrisa

Pravica do izbrisa

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim in opustitev nadaljnjega razširjanja takih podatkov, zlasti v zvezi z osebnimi podatki, ki so bili dani na voljo, ko je bil posameznik, na katerega se nanašajo osebni podatki, še otrok, če velja eden od naslednjih razlogov:

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim in opustitev nadaljnjega razširjanja takih podatkov ter od tretjih oseb izbris vseh povezav do teh podatkov ali njihovih kopij, če velja eden od naslednjih razlogov:

(a) podatki niso več potrebni zaradi namenov, za katere so bili zbrani ali kako drugače obdelani;

(a) podatki niso več potrebni zaradi namenov, za katere so bili zbrani ali kako drugače obdelani;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1), ali pa se je rok shranjevanja, v katerega je posameznik privolil, iztekel, in kadar ni nobenega pravnega razloga za obdelavo podatkov;

(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1), ali pa se je rok shranjevanja, v katerega je posameznik privolil, iztekel, in kadar ni nobenega pravnega razloga za obdelavo podatkov;

(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi osebnih podatkov ugovarja v skladu s členom 19;

(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi osebnih podatkov ugovarja v skladu s členom 19;

 

(ca) sodišče ali regulativni organ s sedežem v Uniji je pravnomočno in dokončno odločil, da je treba te podatke izbrisati;

(d) obdelava podatkov ni v skladu s to uredbo iz drugih razlogov.

(d) podatki so bili obdelani nezakonito.

 

1a. Uporaba odstavka 1 je odvisna od zmožnosti upravljavca podatkov, da preveri, ali je oseba, ki zahteva izbris, posameznik, na katerega se nanašajo osebni podatki.

2. Če upravljavec iz odstavka 1 objavi osebne podatke, sprejme v zvezi s podatki, za objavo katerih je odgovoren, vse primerne ukrepe, vključno s tehničnimi, da tretje osebe, ki te podatke obdelujejo, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, da izbrišejo morebitne povezave do teh osebnih podatkov ali kopije osebnih podatkov. Če upravljavec odobri objavo osebnih podatkov s strani tretje osebe, se šteje za odgovornega za to objavo.

2. Če upravljavec iz odstavka 1 objavi osebne podatke brez utemeljitve v skladu s členom 6(1), sprejme vse primerne ukrepe, da te podatke izbrišejo ter da jih izbrišejo tudi tretje strani, brez poseganja v člen 77. Kadar je to mogoče, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o ukrepu ustrezne tretje strani.

3. Upravljavec izvede izbris nemudoma, razen če je hramba osebnih podatkov potrebna:

3. Upravljavec in po potrebi tretja stran izvede izbris nemudoma, razen če je hramba osebnih podatkov potrebna:

(a) zaradi uveljavljanja pravice do svobode izražanja v skladu s členom 80;

(a) zaradi uveljavljanja pravice do svobode izražanja v skladu s členom 80;

(b) zaradi javnega interesa na področju javnega zdravja v skladu s členom 81;

(b) zaradi javnega interesa na področju javnega zdravja v skladu s členom 81;

(c) v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členom 83;

(c) v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členom 83;

(d) zaradi skladnosti s pravno obveznostjo glede hrambe osebnih podatkov na podlagi zakonodaje Unije ali zakonodaje držav članic, ki velja za upravljavca; zakonodaje držav članic izpolnjujejo cilj javnega interesa, spoštujejo bistveno vsebino pravice do varstva osebnih podatkov in so sorazmerne z zakonitim ciljem, za katerega si prizadevajo;

(d) zaradi skladnosti s pravno obveznostjo glede hrambe osebnih podatkov na podlagi zakonodaje Unije ali zakonodaje držav članic, ki velja za upravljavca; zakonodaje držav članic izpolnjujejo cilj javnega interesa, spoštujejo pravico do varstva osebnih podatkov in so sorazmerne z zakonitim ciljem, za katerega si prizadevajo;

(e) v primerih iz odstavka 4.

(e) v primerih iz odstavka 4.

4. Upravljavec namesto izbrisa obdelavo osebnih podatkov omeji, kadar:

4. Upravljavec namesto izbrisa obdelavo osebnih podatkov omeji tako, da do njih ni več mogoče normalno dostopati in jih obdelovati ter jih ni več mogoče spreminjati, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(a) posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(b) upravljavec osebnih podatkov ne potrebuje več za izpolnitev svoje naloge, vendar jih je treba ohraniti za namene dokazovanja;

(b) upravljavec osebnih podatkov ne potrebuje več za izpolnitev svoje naloge, vendar jih je treba ohraniti za namene dokazovanja;

(c) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe;

(c) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe;

 

(ca) je sodišče ali regulativni organ s sedežem v Uniji pravnomočno in dokončno odločil, da mora biti dostop do teh podatkov omejen;

(d) posameznik, na katerega se nanašajo osebni podatki, zahteva prenos osebnih podatkov v drug sistem za samodejno obdelavo v skladu s členom 18(2).

(d) posameznik, na katerega se nanašajo osebni podatki, zahteva prenos osebnih podatkov v drug sistem za samodejno obdelavo v skladu z odstavkom 2a člena 15.

 

(da) posebna tehnologija za hrambo podatkov ne omogoča izbrisa in je bila nameščena pred začetkom veljavnosti te uredbe.

5. Osebni podatki iz odstavka 4 se razen hrambe lahko obdelujejo samo za namene dokazovanja ali s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi cilja v javnem interesu.

5. Osebni podatki iz odstavka 4 se razen hrambe lahko obdelujejo samo za namene dokazovanja ali s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi cilja v javnem interesu.

6. Če je obdelava osebnih podatkov omejena v skladu z odstavkom 4, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave.

6. Če je obdelava osebnih podatkov omejena v skladu z odstavkom 4, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave.

7. Upravljavec uvede mehanizme, s katerimi zagotovi, da se upoštevajo roki, določeni za izbris osebnih podatkov in/ali redno preverjanje potrebe po shranjevanju podatkov.

 

8. Kadar se opravi izbris, upravljavec takih osebnih podatkov ne obdeluje na druge načine.

8. Kadar se opravi izbris, upravljavec takih osebnih podatkov ne obdeluje na druge načine.

 

8a. Upravljavec uvede mehanizme, s katerimi zagotovi, da se upoštevajo roki, določeni za izbris osebnih podatkov in/ali redno preverjanje potrebe po shranjevanju podatkov.

9. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi:

9. Na Komisijo se prenese pooblastilo, da potem, ko Evropski odbor za varstvo podatkov zaprosi za mnenje, v skladu s členom 86 sprejme delegirane akte, s katerimi podrobneje določi:

(a) merila in zahteve za uporabo odstavka 1 za določene sektorje in v posebnih primerih obdelave podatkov;

(a) merila in zahteve za uporabo odstavka 1 za določene sektorje in v posebnih primerih obdelave podatkov;

(b) pogoje za izbris povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz odstavka 2;

(b) pogoje za izbris povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz odstavka 2;

(c) merila in pogoje za omejitev obdelave osebnih podatkov iz odstavka 4.

(c) merila in pogoje za omejitev obdelave osebnih podatkov iz odstavka 4.

Predlog spremembe  113

Predlog uredbe

Člen 18

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica do prenosljivosti podatkov

črtano

1. Posameznik, na katerega se nanašajo osebni podatki, ima v primeru, ko se osebni podatki obdelujejo z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pravico, da od upravljavca zahteva kopijo podatkov, ki se obdelujejo, v elektronski in strukturirani obliki v splošni rabi, ki omogoča nadaljnjo uporabo s strani posameznika, na katerega se nanašajo osebni podatki.

 

2. Kadar je posameznik, na katerega se nanašajo osebni podatki, zagotovil osebne podatke, obdelava pa poteka na podlagi privolitve ali pogodbe, ima ta posameznik pravico, da te osebne podatke in morebitne druge informacije, ki jih je zagotovil posameznik in shranil avtomatiziran sistem za obdelavo, v elektronski obliki v splošni rabi prenese v drug tak sistem, ne da bi ga pri tem oviral upravljavec, od katerega so osebni podatki pridobljeni.

 

3. Komisija lahko določi elektronsko obliko iz odstavka 1 ter tehnične standarde, načine in postopke za prenos osebnih podatkov v skladu z odstavkom 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  114

Predlog uredbe

Člen 19

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica do ugovora

Pravica do ugovora

1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov, ki temelji na točkah (d), (e) in (f) člena 6(1), razen če upravljavec dokaže obstoj zakonitih in nujnih razlogov za obdelavo, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da kadar koli ugovarja obdelavi osebnih podatkov, ki temelji na točkah (d) in (e) člena 6(1), razen če upravljavec dokaže obstoj zakonitih in nujnih razlogov za obdelavo, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

2. Če se osebni podatki obdelujejo zaradi neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da brezplačno ugovarja obdelavi njegovih osebnih podatkov za tako trženje. Posameznika, na katerega se nanašajo osebni podatki, je treba o tej pravici izrecno poučiti na razumljiv način, ki se jasno razlikuje od drugih informacij.

2. Če obdelava osebnih podatkov temelji na točki (f) člena 6(1), ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli in brez dodatne utemeljitve brezplačno ugovarja obdelavi njegovih osebnih podatkov nasploh ali za kateri koli posamezni namen.

 

2a. Posameznika, na katerega se nanašajo osebni podatki, je treba o pravici iz odstavka 2 izrecno poučiti na razumljiv način in v razumljivi obliki ter v jasnem in preprostem jeziku, zlasti če je ta pouk posebej namenjen otroku, informacija o tej pravici pa mora biti jasno ločena od drugih informacij.

 

2b. V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES, se lahko pravica do ugovora uveljavlja s samodejnimi sredstvi na podlagi tehničnega standarda, ki posamezniku, na katerega se nanašajo osebni podatki, omogoča, da jasno izrazi svoje želje.

3. Če je podan ugovor v skladu z odstavkoma 1 in 2, upravljavec zadevnih osebnih podatkov ne sme več uporabljati ali kako drugače obdelovati.

3. Če je podan ugovor v skladu z odstavkoma 1 in 2, upravljavec zadevnih osebnih podatkov ne sme več uporabljati ali kako drugače obdelovati za namene, določene v ugovoru.

(Zadnji stavek odstavka 2 v besedilu Komisije je v predlogu spremembe Parlamenta postal odstavek 2a.)

Predlog spremembe  115

Predlog uredbe

Člen 20

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Ukrepi na podlagi oblikovanja profilov

Oblikovanje profilov

1. Vsaka fizična oseba ima pravico, da ni predmet ukrepa, ki ima pravne učinke v zvezi s to fizično osebo ali nanjo znatno vpliva in ki temelji zgolj na samodejni obdelavi za namene ocene nekaterih osebnih vidikov v zvezi s to fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe.

1. Ne glede na določbe člena 6 ima vsaka fizična oseba pravico, da ugovarja oblikovanju profila v skladu s členom 19. Posameznika, na katerega se nanašajo osebni podatki, se na zelo opazen način pouči o pravici do ugovora oblikovanju profila.

2. V skladu z drugimi določbami te uredbe je lahko oseba predmet ukrepa iz odstavka 1 samo, če je obdelava:

2. V skladu z drugimi določbami te uredbe je lahko oseba predmet oblikovanja profila, to pa vodi v ukrepe s pravnim učinkom za posameznika, na katerega se nanašajo osebni podatki, ali podobno bistveno zadevajo interese, pravice in svoboščine takega posameznika samo, če je obdelava:

(a) izvedena med sklepanjem ali izvajanjem pogodbe, kadar je zahteva po sklenitvi ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se nanašajo osebni podatki, izpolnjena ali kadar obstajajo ustrezni ukrepi za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, kot je pravica do človeškega posredovanja; ali

(a) potrebna za sklepanje ali izvajanje pogodbe, kadar je zahteva po sklenitvi ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se nanašajo osebni podatki, izpolnjena, če obstajajo ustrezni ukrepi za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(b) izrecno dovoljena z zakonodajo Unije ali zakonodajo držav članic, ki določa tudi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(b) izrecno dovoljena z zakonodajo Unije ali zakonodajo držav članic, ki določa tudi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(c) utemeljena s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v skladu s pogoji iz člena 7 in ustreznimi zaščitnimi ukrepi.

(c) utemeljena s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v skladu s pogoji iz člena 7 in ustreznimi zaščitnimi ukrepi.

3. Samodejna obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ne sme temeljiti zgolj na posebnih vrstah osebnih podatkov iz člena 9.

3. Prepovedano je oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi rase ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spolne usmerjenosti ali spolne identitete ali ki privede do ukrepov, ki imajo takšne posledice. Upravljavec mora izvrševati učinkovito zaščito pred morebitno diskriminacijo zaradi oblikovanja profilov. Oblikovanje profilov ne temelji izključno na posebnih vrstah osebnih podatkov iz člena 9.

4. V primerih iz odstavka 2 informacije, ki jih zagotovi upravljavec v skladu s členom 14, obsegajo informacije o obstoju obdelave zaradi ukrepa iz odstavka 1 in predvidenih učinkih take obdelave na posameznika, na katerega se nanašajo osebni podatki.

 

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, navedenih v odstavku 2.

5. Oblikovanje profilov, ki vodi v ukrepe s pravnim učinkom za posameznika, na katerega se nanašajo osebni podatki, ali podobno bistveno zadevajo interese, pravice ali svoboščine takega posameznika, ne temeljijo izključno ali pretežno na samodejni obdelavi ter vključujejo človeško presojo, vključno z obrazložitvijo odločitve, sprejete po taki presoji. Ukrepi, primerni za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, vključujejo pravico do človeške presoje in obrazložitve odločitve, sprejete po taki presoji.

 

 

5a. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) člena 66(1), s katerimi podrobneje določi merila in pogoje za oblikovanje profilov na podlagi odstavka 2.

Predlog spremembe  116

Predlog uredbe

Člen 21

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Omejitve

Omejitve

1. Zakonodaja Unije ali zakonodaja držav članic lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz točk (a) do (e) člena 5, členov 11 do 20 in člena 32, če je taka omejitev nujen in sorazmeren ukrep v demokratični družbi:

1. Zakonodaja Unije ali zakonodaja držav članic lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 11 do 19 ter člena 32, kadar taka omejitev izpolnjuje jasno opredeljen cilj javnega interesa, spoštuje bistvo pravice do varstva osebnih podatkov, je sorazmerna z legitimnim ciljem, ki se poskuša uresničiti, ter spoštuje temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki, ter je nujen in sorazmeren ukrep v demokratični družbi:

(a) za zaščito javne varnosti;

(a) za zaščito javne varnosti;

(b) za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj;

(b) za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj;

(c) za zaščito drugih javnih interesov Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami ter zaščito stabilnosti in celovitosti trga;

(c) za davčne zadeve;

(d) za preprečevanje, preiskovanje, odkrivanje in pregon kršitev etike za zakonsko urejene poklice;

(d) za preprečevanje, preiskovanje, odkrivanje in pregon kršitev etike za zakonsko urejene poklice;

(e) za spremljanje, pregledovanje ali urejanje, povezano, četudi občasno, z izvajanjem javne oblasti v primerih iz točk (a), (b) (c) in (d);

(e) za spremljanje, pregledovanje ali urejanje v okviru izvajanja pristojne javne oblasti v primerih iz točk (a), (b) (c) in (d);

(f) za zaščito posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

(f) za zaščito posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2. Vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj glede ciljev, za katere si je treba prizadevati pri obdelavi, in določitve upravljavca.

2. Vsak zakonodajni ukrep iz odstavka 1 mora biti nujen in sorazmeren ukrep v demokratični družbi ter vsebuje posebne določbe vsaj glede:

 

(a) ciljev, za katere si je treba prizadevati pri obdelavi;

 

(b) določitve upravljavca;

 

(c) posebnih namenov obdelave in sredstev za obdelavo;

 

(d) zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

 

(e) pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi.

 

2a. Zakonodajni ukrepi iz odstavka 1 zasebnim upravljavcem niti ne dovoljujejo niti jih ne obvezujejo, da hranijo dodatne podatke, poleg tistih, ki so nujno potrebni za prvotni namen.

(Zadnje besede odstavka 2 v besedilu Komisije se s predlogom spremembe Parlamenta pretvorijo v točki (a) in (b).)

Predlog spremembe  117

Predlog uredbe

Člen 22

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pristojnost upravljavca

Pristojnost in odgovornost upravljavca

1. Upravljavec sprejme politike in izvede ustrezne ukrepe, s katerimi zagotovi in lahko dokaže, da se obdelava osebnih podatkov izvaja v skladu s to uredbo.

1. Upravljavec sprejme ustrezne politike ter izvede ustrezne in dokazljive tehnične in organizacijske ukrepe, s katerimi zagotovi in lahko na pregledno dokaže, da se obdelava osebnih podatkov izvaja v skladu s to uredbo, ob upoštevanju doseženega razvoja tehnologije, narave obdelave osebnih podatkov, okoliščin, obsega in namenov take obdelave, tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter vrste organizacije, tako v času določanja sredstev za obdelavo kot v času obdelave same.

 

1a. Upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja sprejme vse razumne ukrepe za izvajanje politik in postopkov za skladnost, ki trajno spoštujejo avtonomne odločitve posameznikov, na katere se nanašajo osebni podatki. Te politike za skladnost se vsaj na vsaki dve leti pregledajo in po potrebi posodobijo.

2. Ukrepi iz odstavka 1 obsegajo zlasti:

 

(a) hranjenje dokumentacije v skladu s členom 28;

 

(b) izvajanje zahtev za varnost podatkov iz člena 30;

 

(c) izvajanje ocene učinka o varstvu podatkov iz člena 33;

 

(d) skladnost z zahtevami za predhodno odobritev ali predhodno posvetovanje z nadzornim organom v skladu s členom 34(1) in (2);

 

(e) imenovanje uradne osebe za varstvo podatkov v skladu s členom 35(1).

 

3. Upravljavec uporabi mehanizme za zagotovitev preverjanja učinkovitosti ukrepov iz odstavkov 1 in 2. Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji revizorji.

3. Upravljavec je zmožen dokazati, da so ukrepi iz odstavkov 1 in 2 primerni in učinkoviti. Vsako redno splošno poročilo o dejavnostih upravljavca, kot so obvezna poročila delniških družb, vsebuje povzetek politik in ukrepov iz odstavka 1.

 

3a. Upravljavec ima pravico, da v Uniji prenese osebne podatke znotraj povezane družbe, kateri upravljavec pripada, če je takšna obdelava nujna zaradi zakonitih notranjih upravnih razlogov in poteka med povezanimi poslovnimi področji povezane družbe ter če se z notranjimi določbami o varstvu podatkov ali enakovrednimi pravili ravnanja iz člena 38 zagotovi primerna raven varstva podatkov in interesov posameznikov, na katere se nanašajo osebni podatki.

4. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi dodatna merila in zahteve za ustrezne ukrepe iz odstavka 1, ki niso ukrepi, že navedeni v odstavku 2, pogoje glede mehanizmov za preverjanje in revizijo iz odstavka 3 ter glede meril za sorazmernost iz odstavka 3, ter posebne ukrepe za mikro-, mala in srednje velika podjetja.

 

Predlog spremembe  118

Predlog uredbe

Člen 23

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Vgrajeno varstvo podatkov

Vgrajeno in privzeto varstvo podatkov

1. Upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja v času določanja sredstev za obdelavo in v času same obdelave izvede ustrezne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam te uredbe in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

1. Upravljavec in morebitni obdelovalec ob upoštevanju doseženega razvoja tehnologije, trenutnih tehničnih spoznanj, najboljših mednarodnih praks in tveganj, ki se pojavljajo pri obdelavi podatkov, v času določanja namena obdelave in sredstev zanjo ter v času same obdelave izvajata ustrezne in sorazmerne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam te uredbe in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti ob upoštevanju načel iz člena 5. Vgrajeno varstvo podatkov še posebej upošteva upravljanje celotnega življenjskega cikla osebnih podatkov od njihovega zbiranja do obdelave in do izbrisa, pri čemer je sistematično osredotočeno na celovite postopkovne zaščitne ukrepe, kar zadeva natančnost, zaupnost, integriteto, fizično varnost in izbris osebnih podatkov. Če je upravljavec izvedel oceno učinka o varstvu podatkov v skladu s členom 33, se rezultati te ocene upoštevajo pri oblikovanju omenjenih ukrepov in postopkov.

 

1a. Da bi se pospešilo njegovo vsesplošno izvajanje v različnih gospodarskih sektorjih, je vgrajeno varstvo podatkov osnovni pogoj za javne razpise v skladu z Direktivo 2004/18/ES Evropskega parlamenta in Sveta1 ter z Direktivo 2004/17/ES Evropskega parlamenta in Sveta (direktiva za posebne sektorje)2.

2. Upravljavec uporabi mehanizme za zagotovitev, da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za vsak poseben namen obdelave, zlasti pa se ne smejo zbirati ali hraniti v večjem obsegu ali dalj časa, kot je za te namene nujno potrebno, kar velja tako za količino podatkov kot trajanje njihove hrambe. Ti mehanizmi zagotovijo zlasti, da osebni podatki privzeto niso dostopni nedoločenemu številu posameznikov.

2. Upravljavec zagotovi, da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za vsak posamezen namen obdelave, zlasti pa se ne smejo zbirati, hraniti ali širiti v večji meri, kot je za te namene nujno potrebno, kar velja tako za količino podatkov kot trajanje njihove hrambe. Ti mehanizmi zagotovijo zlasti, da osebni podatki privzeto niso dostopni nedoločenemu številu posameznikov in da lahko posamezniki, na katere se nanašajo osebni podatki, nadzorujejo razširjanje svojih osebnih podatkov.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi določi dodatna merila in zahteve za ustrezne ukrepe in mehanizme iz odstavkov 1 in 2, zlasti zahteve glede vgrajenega varstva podatkov, ki veljajo za sektorje, proizvode in storitve.

 

4. Komisija lahko za zahteve iz odstavkov 1 in 2 določi tehnične standarde. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

 

1 Direktiva 2004/18/ES Evropskega parlamenta in Sveta z dne 31. marca 2004 o usklajevanju postopkov za oddajo javnih naročil gradenj, blaga in storitev (UL L 134, 30.4.2004, str. 114).

2 Direktiva 2004/17/ES Evropskega parlamenta in Sveta z dne 31. marca 2004 o usklajevanju postopkov za oddajo javnih naročil naročnikov v vodnem, energetskem in transportnem sektorju ter sektorju poštnih storitev (UL L 134, 30.4.2004, str. 1).

Predlog spremembe  119

Predlog uredbe

Člen 24

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Skupni upravljavci

Skupni upravljavci

Kadar upravljavec določi namene, pogoje in sredstva obdelave osebnih podatkov skupaj z drugimi, skupni upravljavci z medsebojnim dogovorom določijo svoje naloge za izpolnitev obveznosti v skladu s to uredbo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.

Kadar več upravljavcev skupaj določa namene in sredstva obdelave osebnih podatkov, skupni upravljavci z medsebojnim dogovorom določijo svoje naloge za izpolnitev obveznosti v skladu s to uredbo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki Dogovor ustrezno odraža dejanske vloge posameznih upravljavcev in njihova razmerja do posameznikov, na katere se nanašajo osebni podatki, vsebina dogovora pa je dana na voljo posamezniku, na katerega se nanašajo osebni podatki. V primeru nejasnosti glede pristojnosti so upravljavci solidarno odgovorni.

Predlog spremembe  120

Predlog uredbe

Člen 25

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Predstavniki upravljavcev, ki nimajo sedeža v Uniji

Predstavniki upravljavcev, ki nimajo sedeža v Uniji

1. V primeru iz člena 3(2) upravljavec določi predstavnika v Uniji.

1. V primeru iz člena 3(2) upravljavec določi predstavnika v Uniji.

2. Ta obveznost ne velja za:

2. Ta obveznost ne velja za:

(a) upravljavca s sedežem v tretji državi, če Komisija sprejme sklep, da tretja država zagotavlja ustrezno raven varstva v skladu s členom 41; ali

(a) upravljavca s sedežem v tretji državi, če Komisija sprejme sklep, da tretja država zagotavlja ustrezno raven varstva v skladu s členom 41; ali

(b) podjetje, ki zaposluje manj kot 250 oseb; ali

(b) upravljavca, ki obdeluje osebne podatke, ki se nanašajo na manj kot 5000 posameznikov v katerem koli obdobju 12 zaporednih mesecev, in ki ne obdeluje posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah; ali

(c) javni organ; ali

(c) javni organ; ali

(d) upravljavca, ki samo občasno nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji.

(d) upravljavca, ki samo občasno nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki, v Uniji, razen kadar gre za obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah.

3. Predstavnik ima sedež v eni od držav članic, v kateri stalno prebivajo posamezniki, na katere se nanašajo osebni podatki, ki se obdelujejo v zvezi z nudenjem blaga ali storitev tem posameznikom, ali katerih vedenje se spremlja.

3. Predstavnik ima sedež v eni od držav članic, v katerih se nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki, ali kjer se jih nadzoruje.

4. Določitev predstavnika s strani upravljavca ne vpliva na pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca.

4. Določitev predstavnika s strani upravljavca ne vpliva na pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca.

Predlog spremembe  121

Predlog uredbe

Člen 26

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obdelovalec

Obdelovalec

1. Kadar se postopek obdelave izvaja v imenu upravljavca, upravljavec izbere obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam te uredbe in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba izvesti, ter zagotovi skladnost s temi ukrepi.

1. Kadar se obdelava izvaja v imenu upravljavca, upravljavec izbere obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam te uredbe in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba izvesti, ter zagotovi skladnost s temi ukrepi

2. Izvajanje obdelave s strani obdelovalca ureja pogodba ali pravni akt, ki določa obveznosti obdelovalca do upravljavca, predvsem da obdelovalec:

2. Izvajanje obdelave s strani obdelovalca ureja pogodba ali pravni akt, ki določa obveznosti obdelovalca do upravljavca. Upravljavec in obdelovalec prosto določata svoje vloge in naloge v skladu z zahtevami te uredbe ter zagotavljata, da obdelovalec:

(a) deluje samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan;

(a) obdeluje osebne podatke samo po navodilih upravljavca, razen če zakonodaja Unije ali zakonodaja države članice zahteva drugače;

(b) zaposluje samo osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;

(b) zaposluje samo osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;

(c) izvede vse potrebne ukrepe iz člena 30;

(c) izvede vse potrebne ukrepe iz člena 30;

(d) zaposli drugega obdelovalca samo s predhodnim dovoljenjem upravljavca;

(d) določi pogoje za zaposlitev drugega obdelovalca samo s predhodnim dovoljenjem upravljavca, razen če je določeno drugače;

(e) kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem oblikuje potrebne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(e) kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem oblikuje primerne in ustrezne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 30 do 34;

(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 30 do 34 ob upoštevanju narave obdelave in obdelovalcu dostopnih informacij;

(g) po končani obdelavi upravljavcu preda vse rezultate in ne obdeluje osebnih podatkov na druge načine;

(g) po končani obdelavi upravljavcu vrne vse rezultate, ne obdeluje osebnih podatkov na druge načine ter uniči obstoječe kopije, razen če zakonodaja Unije ali države članice predpisuje njihovo hrambo;

(h) da upravljavcu in nadzornemu organu na voljo vse informacije, potrebne za nadzor nad izpolnjevanjem obveznosti iz tega člena.

(h) da upravljavcu na voljo vse potrebne informacije, da se dokaže izpolnjevanje obveznosti iz tega člena, in omogoča inšpekcije na kraju samem.

3. Upravljavec in obdelovalec pisno dokumentirata navodila upravljavca in obveznosti obdelovalca iz odstavka 2.

3. Upravljavec in obdelovalec pisno dokumentirata navodila upravljavca in obveznosti obdelovalca iz odstavka 2.

 

3a. Zadostna jamstva iz odstavka 1 se lahko dokažejo z upoštevanjem pravil ravnanja ali mehanizmov potrjevanja v skladu s členom 38 ali 39 te uredbe.

4. Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 24.

4. Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, ali postane odločilna stranka v zvezi z namenom in sredstvi obdelave podatkov, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 24.

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za odgovornosti, dolžnosti in naloge v zvezi z obdelovalcem v skladu z odstavkom 1 ter pogoje, ki zlasti za namene nadzora in poročanja omogočajo olajšanje obdelave osebnih podatkov v povezanem podjetju.

 

Predlog spremembe  122

Predlog uredbe

Člen 28

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Dokumentacija

Dokumentacija

1. Vsak upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, ohrani dokumentacijo vseh postopkov obdelave v okviru svoje pristojnosti.

1. Vsak upravljavec in obdelovalec hrani dokumentacijo, potrebno za izpolnitev zahtev iz te uredbe, ter jo redno posodablja.

2. Dokumentacija vsebuje vsaj naslednje informacije o:

2. Vsak upravljavec in obdelovalec poleg tega hrani dokumentacijo, ki vsebuje naslednje informacije o:

(a) imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in predstavnika, če ta obstaja, in njihove kontaktne podatke;

(a) imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in predstavnika, če ta obstaja, in njihove kontaktne podatke;

(b) imenu uradnika za varstvo podatkov, če ta obstaja, in njegove kontaktne podatke;

(b) imenu uradnika za varstvo podatkov, če ta obstaja, in njegove kontaktne podatke;

(c) namenih obdelave, vključno s pravnimi interesi, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

 

(d) opisu vrst posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov v zvezi z njimi;

 

(e) prejemnikih ali vrstah prejemnikov osebnih podatkov, vključno z upravljavci, ki se jim osebni podatki razkrijejo zaradi pravnih interesov, za katere si prizadevajo;

(e) imenu morebitnih upravljavcev, ki se jim osebni podatki razkrijejo, in njihovih kontaktnih podatkih;

(f) po potrebi o prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz točke (h) člena 44(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

 

(g) splošni navedbi rokov za izbris različnih vrst podatkov;

 

(h) opisu mehanizmov iz člena 22(3).

 

3. Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do dokumentacije.

 

4. Obveznosti iz odstavkov 1 in 2 ne veljajo za naslednje upravljavce in obdelovalce:

črtano

(a) fizično osebo, ki osebne podatke obdeluje brez komercialnega interesa, ali

 

(b) podjetje ali organizacijo, ki zaposluje manj kot 250 oseb in v katerem/kateri je obdelava osebnih podatkov samo postranska dejavnost.

 

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za dokumentacijo iz odstavka 1, ki upoštevajo zlasti pristojnosti upravljavca, obdelovalca in predstavnika upravljavca, če ta obstaja.

 

6. Komisija lahko določi standardne obrazce za dokumentacijo iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  123

Predlog uredbe

Člen 29 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Upravljavec, obdelovalec in predstavnik upravljavca, če ta obstaja, pri opravljanju svojih nalog na zahtevo sodelujejo z nadzornim organom, zlasti z zagotavljanjem informacij iz točke (a) člena 53(2) in omogočanjem dostopa, kakor je določeno v točki (b) navedenega člena.

1. Upravljavec ter obdelovalec in predstavnik upravljavca, če obstajata, pri opravljanju svojih nalog na zahtevo sodelujejo z nadzornim organom, zlasti z zagotavljanjem informacij iz točke (a) člena 53(2) in omogočanjem dostopa, kakor je določeno v točki (b) navedenega člena.

Predlog spremembe  124

Predlog uredbe

Člen 30

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Varnost obdelave

Varnost obdelave

1. Upravljavec in obdelovalec izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomenita obdelava in narava osebnih podatkov, ki jih je treba varovati, pri čemer se upoštevajo doseženi razvoj tehnologije in stroški za njihovo izvajanje.

1. Upravljavec in obdelovalec izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomeni obdelava, pri čemer se upoštevajo rezultati ocene učinka na varstvo podatkov v skladu s členom 33 ter doseženi razvoj tehnologije in stroški za izvajanje teh ukrepov.

 

1a. Taka varnostna politika ob upoštevanju najnovejše tehnologije in stroškov izvajanja vključuje:

 

(a) zmožnost zagotoviti potrditev celovitosti osebnih podatkov;

 

(b) zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo osebnih podatkov;

 

(c) zmožnost pravočasno povrniti razpoložljivost in dostopnost podatkov v primeru fizičnega ali tehničnega incidenta, ki vpliva na razpoložljivost, celovitost in zaupnost informacijskih sistemov in storitev;

 

(d) pri obdelavi občutljivih osebnih podatkov v skladu s členoma 8 in 9 dodatne varnostne ukrepe za zagotovitev spremljanja nevarnosti in zmožnosti za preventivno, korektivno in blažilno ukrepanje v skoraj realnem času v primeru, ko se odkrijejo šibke točke ali incidenti, ki bi lahko predstavljali nevarnost za podatke;

 

(e) postopek rednega testiranja, ocenjevanja in evalvacije učinkovitosti varnostnih politik, postopkov in načrtov, uveljavljenih za zagotovitev stalnega delovanja.

2. Upravljavec in obdelovalec po oceni tveganj izvedeta ukrepe iz odstavka 1, da bi osebne podatke zaščitila pred naključnim ali nezakonitim uničenjem ali naključno izgubo ter preprečila morebitne nezakonite oblike obdelave, zlasti nepooblaščeno razkritje, širjenje ali dostop do osebnih podatkov oziroma njihovo predelavo.

2. Z ukrepi iz odstavka 1 se vsaj:

 

(a) zagotovi, da lahko do osebnih podatkov dostopa samo pooblaščeno osebje za zakonsko odobrene namene;

 

(b) zaščitijo shranjeni ali posredovani osebni podatki pred nenamernim ali nezakonitim uničenjem, nenamerno izgubo ali spremembo ter nepooblaščeno ali nezakonito hrambo, obdelavo, dostopom ali razkritjem; ter

 

(c) zagotovi izvajanje varnostne politike za obdelavo osebnih podatkov.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi vključno z opredelitvijo pojma „doseženi razvoj tehnologije“ podrobneje določi merila in pogoje za tehnične in organizacijske ukrepe iz odstavkov 1 in 2 za določene sektorje in v posebnih primerih obdelave podatkov, zlasti ob upoštevanju razvoja tehnologije in rešitev za vgrajeno zasebnost in vgrajeno varstvo podatkov, razen če velja odstavek 4.

3. Evropski odbor za varstvo podatkov je pristojen, da izda smernice, priporočila in primere najboljše prakse v skladu s točko (b) člena 66(1) za tehnične in organizacijske ukrepe iz odstavkov 1 in 2, vključno z opredelitvijo pojma „doseženi razvoj tehnologije“, za določene sektorje in v posebnih primerih obdelave podatkov, zlasti ob upoštevanju razvoja tehnologije in rešitev za vgrajeno zasebnost in privzeto varstvo podatkov.

4. Komisija lahko po potrebi sprejme izvedbene akte, s katerimi podrobneje določi zahteve iz odstavkov 1 in 2 za določene primere, zlasti da:

 

(a) prepreči morebiten nepooblaščen dostop do osebnih podatkov;

 

(b) prepreči morebitno nepooblaščeno razkritje, branje, kopiranje, spreminjanje, izbris ali odstranitev osebnih podatkov;

 

(c) zagotovi preverjanje zakonitosti postopkov obdelave.

 

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

(Odstavek 2 v besedilu Komisije se v predlogu spremembe Parlamenta deloma pretvori v točko (b).)

Predlog spremembe  125

Predlog uredbe

Člen 31

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov

Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov

1. Upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma, po možnosti najpozneje v 24 urah po odkritju kršitve, obvesti nadzorni organ. Upravljavec nadzornemu organu predloži primerno utemeljitev v primerih, kadar nadzorni organ ni bil obveščen v 24 urah.

1. Upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi brez neupravičenega odlašanja obvesti nadzorni organ.

2. Obdelovalec v skladu s točko (f) člena 26(2) takoj po odkritju kršitve varnosti osebnih podatkov na to opozori in o tem obvesti upravljavca.

2. Obdelovalec po ugotovitvi kršitve varnosti osebnih podatkov brez neupravičenega odlašanja na to opozori in o tem obvesti upravljavca.

3. Obvestilo iz odstavka 1 vsebuje vsaj:

3. Obvestilo iz odstavka 1 vsebuje vsaj:

(a) opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(a) opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(b) sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov ali druge kontaktne točke, pri katerih je mogoče pridobiti več informacij;

(b) sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov ali druge kontaktne točke, pri katerih je mogoče pridobiti več informacij;

(c) priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(c) priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(d) opis posledic kršitve varnosti osebnih podatkov;

(d) opis posledic kršitve varnosti osebnih podatkov;

(e) opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov.

(e) opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov in ublažitev posledic take kršitve.

Po potrebi se lahko informacije o tem podajo v več korakih.

4. Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora nadzornemu organu omogočati, da preveri skladnost s tem členom. Dokumentacija vključuje samo informacije, potrebne za ta namen.

4. Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora biti zadostna, da nadzornemu organu omogoči preverjanje skladnosti s tem členom in členom 30. Dokumentacija vključuje samo informacije, potrebne za ta namen.

 

4a. Nadzorni organ vodi javni register o vrstah prijavljenih kršitev.

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za ugotavljanje kršitve varnosti osebnih podatkov iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.

5. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) člena 66(1) za ugotavljanje kršitve varnosti podatkov in določitev pomena izraza „neupravičeno odlašanje“ iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.

6. Komisija lahko določi standardno obliko takega obvestila nadzornemu organu, postopke, ki se uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz odstavka 4, vključno z roki za izbris informacij iz dokumentacije. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  126

Predlog uredbe

Člen 32

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1. Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali zasebnost posameznika, na katerega se nanašajo osebni podatki, upravljavec po predložitvi obvestila iz člena 31 posamezniku, na katerega se nanašajo osebni podatki, nemudoma pošlje sporočilo o kršitvi varnosti osebnih podatkov.

1. Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki, upravljavec po predložitvi obvestila iz člena 31 posamezniku, na katerega se nanašajo osebni podatki, brez neupravičenega odlašanja pošlje sporočilo o kršitvi varnosti osebnih podatkov.

2. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b) in (c) člena 31(3).

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 je razumljivo ter je napisano v jasnem in preprostem jeziku. Opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b), (c) in (d) člena 31(3) in informacije o pravicah posameznika, na katerega se nanašajo osebni podatki, tudi o pravnem varstvu.

3. Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če upravljavec nadzornemu organu zadovoljivo dokaže, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.

3. Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če upravljavec nadzornemu organu zadovoljivo dokaže, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.

4. Brez poseganja v obveznost upravljavca, da o kršitvi varnosti osebnih podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, lahko v primeru, če upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi varnosti osebnih podatkov, to od njega zahteva nadzorni organ po proučitvi morebitnih škodljivih učinkov kršitve.

4. Brez poseganja v obveznost upravljavca, da o kršitvi varnosti osebnih podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, lahko v primeru, če upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi varnosti osebnih podatkov, to od njega zahteva nadzorni organ po proučitvi morebitnih škodljivih učinkov kršitve.

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede okoliščin, v katerih je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na osebne podatke iz odstavka 1.

Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) odstavka 66(1) glede okoliščin, v katerih je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na osebne podatke, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki, iz odstavka 1.

6. Komisija lahko določi obliko sporočila posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 in postopke, ki se uporabljajo za to sporočilo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  127

Predlog uredbe

Člen 32 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 32a

 

Upoštevanje tveganja

 

1. Upravljavec ali obdelovalec, če ta obstaja, opravi analizo tveganj morebitnega učinka predvidene obdelave podatkov na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter oceni, ali njegovi postopki obdelave predstavljajo posebno tveganje.

 

2. Tako tveganje predstavljajo naslednji postopki obdelave:

 

(a) obdelava osebnih podatkov, ki se nanašajo na več kot 5000 posameznikov v katerem koli zaporednem 12-mesečnem obdobju;

 

(b) obdelava posebnih vrst osebnih podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah;

 

(c) oblikovanje profilov, na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali podobno nanj znatno vplivajo;

 

(d) obdelava osebnih podatkov za namene zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

 

(e) avtomatsko spremljanje javno dostopnih območij v velikem obsegu;

 

(f) drugi postopki obdelave, za katere se zahteva posvetovanje z uradno osebo za varstvo podatkov ali nadzornim organom v skladu s točko (b) člena 34(2);

 

(g) kadar je verjetno, da bi kršitev varnosti osebnih podatkov škodljivo vplivala na varstvo osebnih podatkov, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki;

 

(h) temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati;

 

(i) kadar se dostop do osebnih podatkov omogoči večjemu številu oseb, ki ga ni mogoče smiselno omejiti.

 

3. V skladu z rezultati analize tveganja:

 

(a) če obstaja kateri koli postopek obdelave iz točk (a) in (b) odstavka 2, upravljavci, ki nimajo sedeža v Uniji, določijo predstavnika v Uniji v skladu z zahtevami in izjemami iz člena 25;

 

(b) če obstaja kateri koli postopek obdelave iz točk (a), (b) ali (h) odstavka 2, upravljavec imenuje uradno osebo za varstvo podatkov v skladu z zahtevami in izjemami iz člena 35;

 

(c) če obstaja kateri koli postopek obdelave iz točk (a), (b), (c), (d), (e), (f), (g) ali (h) odstavka 2, upravljavec ali obdelovalec, ki deluje v imenu upravljavca, opravi oceno učinka o varstvu podatkov v skladu s členom 33;

 

(d) če obstajajo postopki obdelave iz točke (f) odstavka 2, se upravljavec posvetuje z uradno osebo za varstvo podatkov, ali če taka oseba ni bila imenovana, nadzorni organ v skladu s členom 34.

 

4. Analiza tveganja se pregleda najkasneje po enem letu ali nemudoma, če se narava, področje uporabe ali namen postopkov obdelave osebnih podatkov bistveno spremenijo. Kadar v skladu s točko (c) odstavka 3 upravljavec ni obvezan, da opravi oceno učinka o varstvu podatkov, se analiza tveganja dokumentira.

Predlog spremembe  128

Predlog uredbe

Poglavje 4 – oddelek 3 – naslov

Besedilo, ki ga predlaga Komisija

Predlog spremembe

OCENA UČINKA O VARSTVU PODATKOV IN PREDHODNA ODOBRITEV

UPRAVLJANJE ŽIVLJENSKEGA CIKLA PODATKOV

Predlog spremembe  129

Predlog uredbe

Člen 33

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Ocena učinka o varstvu podatkov

Ocena učinka o varstvu podatkov

1. Kadar postopki obdelave zaradi svoje narave, obsega ali namenov predstavljajo posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, upravljavec ali obdelovalec v imenu upravljavca izvede oceno učinka predvidenih postopkov obdelave na varstvo osebnih podatkov.

1. Kadar se to zahteva v skladu s točko (c) člena 32a(3), upravljavec ali obdelovalec v imenu upravljavca izvede oceno učinka predvidenih postopkov obdelave na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti na njihovo pravico do varstva osebnih podatkov. Za obravnavanje niza podobnih postopkov obdelave, ki predstavljajo podobna tveganja, zadostuje ena ocena.

2. Posebne nevarnosti iz odstavka 1 predstavljajo zlasti naslednji postopki obdelave:

 

(a) sistematično in obsežno vrednotenje osebnih vidikov v zvezi s fizično osebo ali za analiziranje oziroma predvidevanje zlasti ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe, ki temelji na samodejni obdelavi in na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali nanj znatno vplivajo;

 

(b) informacije o spolnem življenju, zdravju, rasnem in etničnem izvoru ali zaradi nudenja zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

 

(c) spremljanje javno dostopnih območij, zlasti z uporabo optično-elektronskih naprav (video nadzor) v velikem obsegu;

 

(d) osebni podatki v obsežnih zbirkah, ki se nanašajo na otroke, genetske podatke ali biometrične podatke;

 

(e) drugi postopki obdelave, za katere se zahteva posvetovanje z nadzornim organom v skladu s točko (b) člena 34(2).

 

3. Ocena obsega vsaj splošni opis predvidenih postopkov obdelave, oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

3. Ocena obsega upravljanje celotnega življenjskega cikla osebnih podatkov, od zbiranja prek obdelave pa do izbrisa. Zajema vsaj:

 

(a) sistematičen opis predvidenih postopkov obdelave, namenov obdelave in po potrebi pravnih interesov, za katere si prizadeva upravljavec;

 

(b) oceno nujnosti in sorazmernosti postopkov obdelave glede na njihov namen;

 

(c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, vključno s tveganjem diskriminacije, ki ga postopek vsebuje ali krepi;

 

(d) opis ukrepov, predvidenih za obravnavo tveganj in zmanjšanje obsega osebnih podatkov, ki se obdelujejo, na najmanjšo možno mero;

 

(e) seznam zaščitnih ukrepov, varnostnih ukrepov ter mehanizmov za zagotavljanje varstva osebnih podatkov, kot je psevdonimizacija, in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva;

 

(f) splošno navedbo rokov za izbris različnih vrst podatkov;

 

(h) podatke o tem, kateri postopki vgrajenega in privzetega varstva podatkov po členu 23 se izvršujejo;

 

(i) seznam prejemnikov ali vrst prejemnikov osebnih podatkov;

 

(j) po potrebi seznam predvidenih prenosov podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz točke (h) člena 44(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

 

(k) oceno okoliščin obdelave podatkov.

 

3a. Če je upravljavec ali obdelovalec imenoval uradno osebo za varstvo podatkov, je ta vključena v postopek ocene učinka.

 

3b. Ocena se dokumentira in določi se časovni načrt za redne periodične preglede spoštovanja varstva osebnih podatkov v skladu s členom 33a(1). Če pregled spoštovanja varstva osebnih podatkov iz člena 33a pokaže nedoslednosti pri spoštovanju, se ocena brez neupravičenega odlašanja posodobi. Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do ocene.

4. Upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost postopkov obdelave.

 

5. Kadar je upravljavec javni organ in kadar obdelava izhaja iz pravne obveznosti v skladu s točko (c) člena 6(1), ki določa pravila in postopke v zvezi z dejavnostmi obdelave, ki jih ureja pravo Unije, se odstavki 1 do 4 ne uporabljajo, razen če država članica meni, da je treba tako oceno izvesti pred začetkom postopkov obdelave.

 

6. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za postopke obdelave, ki bodo verjetno predstavljali posebne nevarnosti iz odstavkov 1 in 2, ter zahteve za oceno iz odstavka 3, vključno s pogoji za nadgradljivost, preverjanje in možnost revizije. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

 

7. Komisija lahko določi standarde in postopke za izvajanje, preverjanje in revizijo ocene iz odstavka 3. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

(Odstavek 3 v besedilu Komisije se v predlogu spremembe Parlamenta delno pretvori v točke (a), (c), (d) in (e).)

Predlog spremembe  130

Predlog uredbe

Člen 33 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 33a

 

Pregled spoštovanja varstva podatkov

 

1. Najkasneje dve leti po opravljeni oceni učinka po členu 33(1), upravljavec ali obdelovalec v imenu upravljavca izvede pregled spoštovanja. Tak pregled pokaže, da se obdelava osebnih podatkov opravlja v skladu z oceno učinka o varstvu podatkov.

 

2. Pregled spoštovanja se opravi redno najmanj vsaki dve leti ali takoj, ko se spremenijo posebna tveganja, ki jih predstavljajo postopki obdelave.

 

3. Če izid pregleda spoštovanja pokaže nedoslednosti, pregled vključuje tudi priporočila o tem, kako doseči popolno spoštovanje.

 

4. Pregled spoštovanja in priporočila se dokumentirajo. Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do pregleda.

 

5. Če je upravljavec ali obdelovalec imenoval uradno osebo za varstvo podatkov, je ta vključena v postopek pregleda spoštovanja.

Predlog spremembe  131

Predlog uredbe

Člen 34

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Predhodna odobritev in predhodno posvetovanje

Predhodno posvetovanje

1. Upravljavec oziroma obdelovalec pred obdelavo osebnih podatkov od nadzornega organa pridobita odobritev, da zagotovita skladnost predvidene obdelave s to uredbo in zlasti ublažita nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar upravljavec ali obdelovalec sprejme pogodbene določbe iz točke (d) člena 42(2) ali ne zagotovi ustreznih zaščitnih ukrepov v pravno zavezujočem aktu iz člena 42(5) za prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo.

 

2. Upravljavec ali obdelovalec, ki deluje v imenu upravljavca, se pred obdelavo osebnih podatkov posvetuje z nadzornim organom, da zagotovi skladnost predvidene obdelave s to uredbo in zlasti ublaži nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar:

2. Upravljavec ali obdelovalec, ki deluje v imenu upravljavca, se pred obdelavo osebnih podatkov posvetuje z uradno osebo za varstvo podatkov ali z nadzornim organom, če uradna oseba za varstvo podatkov ni bila imenovana, da zagotovi skladnost predvidene obdelave s to uredbo in zlasti ublaži nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar:

(a) ocena učinka o varstvu podatkov iz člena 33 kaže, da zaradi svoje narave, obsega ali namenov postopki obdelave verjetno predstavljajo visoko raven posebnih nevarnosti; or

(a) ocena učinka o varstvu podatkov iz člena 33 kaže, da zaradi svoje narave, obsega ali namenov postopki obdelave verjetno predstavljajo visoko raven posebnih nevarnosti; or

(b) je po mnenju nadzornega organa potrebno predhodno posvetovanje o postopkih obdelave, ki bodo zaradi svoje narave, obsega in/ali namenov verjetno predstavljali posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in postopkih obdelave, določenih v skladu z odstavkom 4.

(b) je po mnenju uradne osebe za varstvo podatkov ali nadzornega organa potrebno predhodno posvetovanje o postopkih obdelave, ki bodo zaradi svoje narave, obsega in/ali namenov verjetno predstavljali posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in postopkih obdelave, določenih v skladu z odstavkom 4.

3. Kadar nadzorni organ meni, da predvidena obdelava ni v skladu s to uredbo, zlasti kadar nevarnosti niso ustrezno opredeljene ali ublažene, predvideno obdelavo prepove in poda ustrezne predloge za ureditev take neskladnosti.

3. Kadar pristojni nadzorni organ v skladu s svojimi pooblastili ugotovi, da predvidena obdelava ni v skladu s to uredbo, zlasti kadar nevarnosti niso ustrezno opredeljene ali ublažene, predvideno obdelavo prepove in poda ustrezne predloge za ureditev take neskladnosti.

4. Nadzorni organ določi in javno objavi seznam postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s točko (b) odstavka 2. Nadzorni organ te sezname posreduje Evropskemu odboru za varstvo podatkov.

4. Evropski odbor za varstvo podatkov določi in javno objavi seznam postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu z odstavkom 2.

5. Kadar seznam iz odstavka 4 obsega postopke obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem njihovega vedenja ali ki lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji, nadzorni organ pred sprejetjem seznama uporabi mehanizem za skladnost iz člena 57.

 

6. Upravljavec ali obdelovalec nadzornemu organu predloži oceno učinka o varstvu podatkov iz člena 33, na zahtevo pa tudi druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

6. Upravljavec ali obdelovalec nadzornemu organu na njegovo zahtevo predloži oceno učinka o varstvu podatkov v skladu s členom 33 ter na zahtevo tudi druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

7. Države članice se pri pripravi zakonodajnega ukrepa, ki bo sprejet v nacionalnem parlamentu, ali ukrepa na podlagi takega zakonodajnega ukrepa, ki določa naravo obdelave, posvetujejo z nadzornim organom in tako zagotovijo skladnost predvidene obdelave s to uredbo ter zlasti ublažijo nevarnosti za posameznike, na katere se nanašajo osebni podatki.

7. Države članice se pri pripravi zakonodajnega ukrepa, ki bo sprejet v nacionalnem parlamentu, ali ukrepa na podlagi takega zakonodajnega ukrepa, ki določa naravo obdelave, posvetujejo z nadzornim organom in tako zagotovijo skladnost predvidene obdelave s to uredbo ter zlasti ublažijo nevarnosti za posameznike, na katere se nanašajo osebni podatki.

8. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za določanje visoke ravni posebnih nevarnosti iz točke (a) odstavka 2.

 

9. Komisija lahko določi standardne obrazce in postopke za predhodne odobritve in posvetovanja iz odstavkov 1 in 2 ter standardne obrazce in postopke za obveščanje nadzornih organov v skladu s členom 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  132

Predlog uredbe

Člen 35

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Imenovanje uradne osebe za varstvo podatkov

Imenovanje uradne osebe za varstvo podatkov

1. Upravljavec in obdelovalec imenujeta uradno osebo za varstvo podatkov v vsakem primeru, kadar:

1. Upravljavec in obdelovalec imenujeta uradno osebo za varstvo podatkov v vsakem primeru, kadar:

(a) obdelavo izvaja javni organ; ali

(a) obdelavo izvaja javni organ; ali

(b) obdelavo izvaja podjetje, ki zaposluje 250 oseb ali več; ali

(b) obdelavo, ki v katerem koli 12-mesečnem obdobju obsega več kot 5000 posameznikov, na katere se nanašajo osebni podatki, izvaja pravna oseba; ali

(c) temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati.

(c) temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati; ali

 

(d) temeljne dejavnosti upravljavca ali obdelovalca obsegajo obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah.

2. V primeru iz točke (b) odstavka 1 lahko povezana družba imenuje eno samo uradno osebo za varstvo podatkov.

2. Povezana družba lahko imenuje glavno odgovorno uradno osebo za varstvo podatkov, če se zagotovi, da je uradna oseba za varstvo podatkov lahko dostopna iz vsake enote.

3. Kadar je upravljavec ali obdelovalec javni organ, je lahko uradna oseba za varstvo podatkov ob upoštevanju organizacijske strukture javnega organa imenovana za več njegovih subjektov.

3. Kadar je upravljavec ali obdelovalec javni organ, je lahko uradna oseba za varstvo podatkov ob upoštevanju organizacijske strukture javnega organa imenovana za več njegovih subjektov.

4. V primerih, ki niso navedeni v odstavku 1, lahko upravljavec ali obdelovalec ali združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev, imenujejo uradno osebo za varstvo podatkov.

4. V primerih, ki niso navedeni v odstavku 1, lahko upravljavec ali obdelovalec ali združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev, imenujejo uradno osebo za varstvo podatkov.

5. Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za opravljanje nalog iz člena 37. Stopnja potrebnega strokovnega znanja se določi zlasti v skladu z izvedeno obdelavo podatkov in varstvom, ki ga zahtevajo osebni podatki, obdelani s strani upravljavca ali obdelovalca.

5. Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za opravljanje nalog iz člena 37. Stopnja potrebnega strokovnega znanja se določi zlasti v skladu z izvedeno obdelavo podatkov in varstvom, ki ga zahtevajo osebni podatki, obdelani s strani upravljavca ali obdelovalca.

6. Upravljavec ali obdelovalec zagotovi, da so vse ostale poklicne dolžnosti uradne osebe za varstvo podatkov združljive z nalogami in dolžnostmi osebe kot uradne osebe za varstvo podatkov ter da zaradi tega ne pride do konflikta interesov.

6. Upravljavec ali obdelovalec zagotovi, da so vse ostale poklicne dolžnosti uradne osebe za varstvo podatkov združljive z nalogami in dolžnostmi osebe kot uradne osebe za varstvo podatkov ter da zaradi tega ne pride do konflikta interesov.

7. Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje za obdobje vsaj dveh let. Uradna oseba za varstvo podatkov se lahko ponovno imenuje za nadaljnja obdobja. Med mandatom je lahko uradna oseba za varstvo podatkov razrešena samo, če več ne izpolnjuje pogojev, zahtevanih za opravljanje njegovih nalog.

7. Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje za obdobje vsaj štirih let, če gre za osebo, zaposleno pri njem, ali vsaj dveh let, če gre za zunanjega izvajalca storitev. Uradna oseba za varstvo podatkov se lahko ponovno imenuje za nadaljnja obdobja. Med svojim mandatom je lahko uradna oseba za varstvo podatkov razrešena samo, če več ne izpolnjuje pogojev, zahtevanih za opravljanje njenih nalog.

8. Uradna oseba za varstvo podatkov je lahko zaposlena pri upravljavcu ali obdelovalcu, ali pa svoje naloge opravlja na podlagi pogodbe o storitvah.

8. Uradna oseba za varstvo podatkov je lahko zaposlena pri upravljavcu ali obdelovalcu, ali pa svoje naloge opravlja na podlagi pogodbe o storitvah.

9. Upravljavec ali obdelovalec sporoči ime in kontaktne podatke uradne osebe za varstvo podatkov nadzornemu organu in javnosti.

9. Upravljavec ali obdelovalec sporoči ime in kontaktne podatke uradne osebe za varstvo podatkov nadzornemu organu in javnosti.

10. Posamezniki, na katere se nanašajo osebni podatki, lahko z uradno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in zahtevajo uveljavljanje pravic na podlagi te uredbe.

10. Posamezniki, na katere se nanašajo osebni podatki, lahko z uradno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in zahtevajo uveljavljanje pravic na podlagi te uredbe.

11. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za temeljne dejavnosti upravljavca ali obdelovalca iz točke (c) odstavka 1 ter merila za strokovne odlike uradne osebe za varstvo podatkov iz odstavka 5.

 

Predlog spremembe  133

Predlog uredbe

Člen 36

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Položaj uradne osebe za varstvo podatkov

Položaj uradne osebe za varstvo podatkov

1. Upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

1. Upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2. Upravljavec ali obdelovalec zagotovi, da uradna oseba za varstvo podatkov dolžnosti in naloge opravlja neodvisno in ne prejema nobenih navodil v zvezi z opravljanjem funkcije. Uradna oseba za varstvo podatkov neposredno poroča upravi upravljavca ali obdelovalca.

2. Upravljavec ali obdelovalec zagotovi, da uradna oseba za varstvo podatkov dolžnosti in naloge opravlja neodvisno in ne prejema nobenih navodil v zvezi z opravljanjem funkcije. Uradna oseba za varstvo podatkov neposredno poroča poslovodstvu upravljavca ali obdelovalca. Upravljavec ali obdelovalec v ta namen imenuje člana poslovodstva, ki bo odgovoren za ravnanje v skladu z določbami te uredbe.

3. Upravljavec ali obdelovalec uradni osebi za varstvo podatkov pomaga pri opravljanju njenih nalog ter zagotovi osebje, prostore, opremo in vsa druga sredstva, ki jih potrebuje za opravljanje dolžnosti in nalog iz člena 37.

3. Upravljavec ali obdelovalec uradni osebi za varstvo podatkov pomaga pri opravljanju njenih nalog ter zagotovi vsa sredstva, vključno z osebjem, prostori, opremo in vsemi drugimi sredstvi, ki jih potrebuje za opravljanje dolžnosti in nalog iz člena 37 ter za ohranjanje svojega strokovnega znanja.

 

4. Uradne osebe za varstvo podatkov morajo identiteto posameznikov, na katere se nanašajo osebni podatki, in okoliščine, ki omogočajo njihovo identifikacijo, varovati kot skrivnost, razen če jih zadevni posameznik te obveznosti razreši.

Predlog spremembe  134

Predlog uredbe

Člen 37

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Naloge uradne osebe za varstvo podatkov

Naloge uradne osebe za varstvo podatkov

1. Upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

Upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a) obveščanje upravljavca ali obdelovalca in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu s to uredbo ter dokumentiranje te dejavnosti in prejetih odgovorov;

(a) ozaveščanje, obveščanje upravljavca ali obdelovalca in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu s to uredbo, zlasti glede tehničnih in organizacijskih ukrepov in postopkov, ter dokumentiranje te dejavnosti in prejetih odgovorov;

(b) spremljanje izvajanja in uporabe politik upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(b) spremljanje izvajanja in uporabe politik upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(c) spremljanje izvajanja in uporabe te uredbe, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi te uredbe;

(c) spremljanje izvajanja in uporabe te uredbe, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi te uredbe;

(d) zagotavljanje ohranjanja dokumentacije iz člena 28;

(d) zagotavljanje ohranjanja dokumentacije iz člena 28;

(e) spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 31 in 32;

(e) spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 31 in 32;

(f) spremljanje izvajanja ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in uporabe predhodne odobritve ali predhodnega posvetovanja, če se to zahteva v skladu s členoma 33 in 34;

(f) spremljanje izvajanja ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in uporabe predhodnega posvetovanja, če se to zahteva v skladu s členi 32a, 33 in 34;

(g) spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na pobudo uradne osebe za varstvo podatkov;

(g) spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na pobudo uradne osebe za varstvo podatkov;

(h) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno.

(h) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno.

 

(i) preverjanje skladnosti s to uredbo v okviru mehanizma predhodnega posvetovanja iz člena 34;

 

(j) obveščanje predstavnikov zaposlenih o obdelavi podatkov zaposlenih.

2. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede nalog, potrjevanja, položaja, pooblastil in sredstev uradne osebe za varstvo podatkov iz odstavka 1.

 

Predlog spremembe  135

Predlog uredbe

Člen 38

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravila ravnanja

Pravila ravnanja

1. Države članice, nadzorni organi in Komisija spodbujajo pripravljanje pravil ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo podatkov, zlasti v zvezi s:

1. Države članice, nadzorni organi in Komisija spodbujajo pripravljanje pravil ravnanja, ali sprejetje pravil ravnanja, ki bi jih sestavil nadzorni organ, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo podatkov, zlasti v zvezi s:

(a) pošteno in pregledno obdelavo podatkov;

(a) pošteno in pregledno obdelavo podatkov;

 

(aa) spoštovanjem pravic potrošnikov;

 

(b) zbiranjem podatkov;

(b) zbiranjem podatkov;

(c) obveščanjem javnosti in posameznikov, na katere se nanašajo osebni podatki;

(c) obveščanjem javnosti in posameznikov, na katere se nanašajo osebni podatki;

(d) zahtevami posameznikov, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic;

(d) zahtevami posameznikov, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic;

(e) obveščanjem in zaščito otrok;

(e) obveščanjem in zaščito otrok;

(f) prenosi podatkov v tretje države ali mednarodne organizacije;

(f) prenosi podatkov v tretje države ali mednarodne organizacije;

(g) mehanizmi za spremljanje in zagotavljanje skladnosti s pravili s strani upravljavcev, za katere ta pravila veljajo;

(g) mehanizmi za spremljanje in zagotavljanje skladnosti s pravili s strani upravljavcev, za katere ta pravila veljajo;

(h) izvensodnimi postopki in drugimi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 73 in 75.

(h) izvensodnimi postopki in drugimi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 73 in 75.

2. Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v eni državi članici in nameravajo pripraviti pravila ravnanja oziroma spremeniti ali razširiti veljavna pravila ravnanja, lahko ta pravila predložijo v presojo nadzornemu organu v tej državi članici. Nadzorni organ lahko poda mnenje, ali je osnutek pravil ravnanja ali sprememba teh pravil v skladu s to uredbo. Nadzorni organ za mnenje o teh osnutkih zaprosi posameznike, na katere se nanašajo osebni podatki, ali njihove predstavnike.

2. Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v eni državi članici in nameravajo pripraviti pravila ravnanja oziroma spremeniti ali razširiti veljavna pravila ravnanja, lahko ta pravila predložijo v presojo nadzornemu organu v tej državi članici. Nadzorni organ brez neupravičenega odlašanja poda mnenje, ali je obdelava iz osnutka pravil ravnanja ali iz spremembe teh pravil v skladu s to uredbo. Nadzorni organ za mnenje o teh osnutkih zaprosi posameznike, na katere se nanašajo osebni podatki, ali njihove predstavnike.

3. Združenja in drugi organi, ki predstavljajo vrste upravljavcev v več državah članicah, lahko osnutke pravil ravnanja in spremembe ali razširitve veljavnih pravil ravnanja predložijo Komisiji.

3. Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v več državah članicah, lahko osnutke pravil ravnanja in spremembe ali razširitve veljavnih pravil ravnanja predložijo Komisiji.

4. Komisija lahko sprejme izvedbene akte, s katerimi sklene, da so pravila ravnanja in spremembe ali razširitve veljavnih pravil ravnanja, ki so ji bile predložene v skladu z odstavkom 3, v Uniji splošno veljavne. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

4. Komisija je, po tem, ko je zaprosila Evropski odbor za varstvo podatkov za mnenje, v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi sklene, da so pravila ravnanja in spremembe ali razširitve veljavnih pravil ravnanja, ki so ji bile predložene v skladu z odstavkom 3, v skladu s to uredbo in so v Uniji splošno veljavne. Ti delegirani akti podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki.

5. Komisija zagotovi ustrezno objavo pravil ravnanja, za katera je v skladu z odstavkom 4 sklenila, da so splošno veljavna.

5. Komisija zagotovi ustrezno objavo pravil ravnanja, za katera je v skladu z odstavkom 4 sklenila, da so splošno veljavna.

Predlog spremembe  136

Predlog uredbe

Člen 39

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Potrjevanje

Potrjevanje

1. Države članice in Komisija zlasti na evropski ravni spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov, ki posameznikom, na katere se nanašajo osebni podatki, omogočijo, da hitro ocenijo raven varstva podatkov, ki jo zagotavljajo upravljavci in obdelovalci. Mehanizmi potrjevanja za varstvo podatkov prispevajo k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev in postopkov obdelave.

 

 

1a. Vsak upravljavec ali obdelovalec lahko od katerega koli nadzornega organa v Uniji v zameno za razumno pristojbino, v katero so všteti upravni stroški, zahteva potrdilo, da obdelava osebnih podatkov poteka v skladu s to uredbo, zlasti z načeli iz členov 5, 23 in 30, obveznostmi upravljavca in obdelovalca ter pravicami posameznika, na katerega se nanašajo osebni podatki.

 

1b. Potrjevanje je prostovoljno in cenovno dostopno ter se zagotavlja v okviru postopka, ki je pregleden in ni nepotrebno obremenjujoč.

 

1c. Nadzorni organi in Evropski odbor za varstvo podatkov sodelujejo v okviru mehanizma za skladnost po členu 57, da bi zagotovili usklajen mehanizem potrjevanja za varstvo podatkov, vključno z uskladitvijo pristojbin v Uniji.

 

1d. Nadzorni organ lahko med postopkom potrjevanja pooblasti specializirane zunanje revizorje, da opravijo revizijo upravljavca ali obdelovalca v njegovem imenu. Zunanji revizorji imajo zadostno kvalificirano osebje, so nepristranski in nimajo navzkrižij interesov, kar zadeva svoje naloge. Nadzorni organi prekličejo pooblastilo, če utemeljeno sumijo, da revizor neustrezno opravlja svoje naloge. Za končno potrjevanje poskrbi nadzorni organ.

 

1e. Nadzorni organi upravljavcem in obdelovalcem, ki so po reviziji prejeli potrdilo, da osebne podatke obdelujejo v skladu s to uredbo, dodelijo standardizirano označbo za varstvo podatkov, poimenovano „evropski pečat za varstvo podatkov“.

 

1f. „Evropski pečat za varstvo podatkov“ je veljaven, dokler so dejavnosti obdelave podatkov, ki jih opravlja potrjeni upravljavec ali obdelovalec, v celoti v skladu s to uredbo.

 

1g. Ne glede na odstavek 1f je potrdilo veljavno največ pet let.

 

1h. Evropski odbor za varstvo podatkov uvede javni elektronski register, v katerem ima javnost vpogled v vsa veljavna in neveljavna potrdila, ki so bila izdana v državah članicah.

 

1i. Evropski odbor za varstvo podatkov lahko na lastno pobudo potrdi, da je tehnični standard za krepitev varstva podatkov skladen s to uredbo.

2. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za mehanizme potrjevanja za varstvo podatkov iz odstavka 1, vključno s pogoji za dodelitev in odvzem potrditve ter zahtevami za priznanje v Uniji in v tretjih državah.

2. Komisija je, po tem, ko zaprosi Evropski odbor za varstvo podatkov za mnenje in se posvetuje z zainteresiranimi stranmi, zlasti z industrijo in nevladnimi organizacijami, v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za mehanizme potrjevanja za varstvo podatkov iz odstavkov 1a do 1h, vključno z zahtevami za akreditacijo revizorjev, pogoji za dodelitev in odvzem potrditve ter zahtevami za priznanje v Uniji in v tretjih državah. Ti delegirani akti podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki.

3. Komisija lahko določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov, ki bodo spodbujali uporabo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov ter jih priznali. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  137

Predlog uredbe

Člen 41

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Prenosi s sklepom o ustreznosti

Prenosi s sklepom o ustreznosti

1. Prenos se lahko izvede, če je Komisija sprejela sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno nobeno dodatno pooblastilo.

1. Prenos se lahko izvede, če je Komisija sprejela sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno nobeno posebno pooblastilo.

2. Pri ocenjevanju ustreznosti ravni varstva Komisija upošteva naslednje elemente:

2. Pri ocenjevanju ustreznosti ravni varstva Komisija upošteva naslednje elemente:

(a) načelo pravne države, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava, poklicnih pravil in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji, prav tako učinkovite in izvršljive pravice, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(a) načelo pravne države, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter izvajanje te zakonodaje, poklicnih pravil in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji, sodna praksa, prav tako učinkovite in izvršljive pravice, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(b) obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(b) obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, vključno z zadostnimi pooblastili za sankcije, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(c) mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija.

(c) mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija, zlasti vse pravno zavezujoče konvencije ali instrumente v zvezi z varstvom osebnih podatkov.

3. Komisija lahko sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Takšni delegirani akti vsebujejo klavzulo o časovni omejitvi veljavnosti, če zadevajo sektor za obdelavo, in so v skladu s členom 5 preklicani, kakor hitro ni več mogoče zagotoviti ustrezne ravni varstva v skladu s to uredbo.

4. V izvedbenih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredeli nadzorni organ iz točke (b) odstavka 2.

4. V delegiranih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredeli nadzorni organ iz točke (b) odstavka 2.

 

4a. Komisija stalno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplivali na elemente iz odstavka 2, kjer je bil sprejet delegirani akt v skladu z odstavkom 3.

5. Komisija lahko sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v smislu odstavka 2 tega člena, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2) ali v izjemno nujnih primerih za posameznike glede na njihovo pravico do varstva osebnih podatkov v skladu s postopkom iz člena 87(3).

5. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ali ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo.

6. Če Komisija sprejme sklep v skladu z odstavkom 5, je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, brez poseganja v člene 42 do 44. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.

6. Če Komisija sprejme sklep v skladu z odstavkom 5, je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, brez poseganja v člene 42 do 44. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.

 

6a. Komisija pred sprejetjem delegiranega akta iz odstavkov 3 in 5 zaprosi Evropski odbor za varstvo podatkov, da predloži mnenje o ustreznosti ravni varstva. V ta namen Komisija predloži Evropskemu odboru za varstvo podatkov vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo.

7. Komisija v Uradnem listu Evropske unije objavi seznam navedenih tretjih držav, ozemeljskih enot, sektorjev za obdelavo v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo.

7. Komisija v Uradnem listu Evropske unije in na svoji spletni strani objavi seznam navedenih tretjih držav, ozemeljskih enot, sektorjev za obdelavo v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo.

8. Sklepi, ki jih je Komisija sprejela na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES, ostanejo veljavni, dokler jih Komisija ne spremeni, nadomesti ali razveljavi.

8. Sklepi, ki jih je Komisija sprejela na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES, ostanejo veljavni pet let po začetku veljavnosti te uredbe, razen če jih Komisija spremeni, nadomesti ali razveljavi pred koncem tega obdobja.

Predlog spremembe  138

Predlog uredbe

Člen 42

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Prenosi z ustreznimi zaščitnimi ukrepi

Prenosi z ustreznimi zaščitnimi ukrepi

1. Če Komisija ni sprejela nobenega sklepa v skladu s členom 41, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo samo, če je v zvezi z varstvom osebnih podatkov v pravno zavezujočem aktu navedel ustrezne zaščitne ukrepe.

1. Če Komisija ni sprejela nobenega sklepa v skladu s členom 41 ali če sprejme sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v navedeni tretji državi ali zadevna mednarodna organizacija ne zagotavlja ustrezne ravni varstva v skladu s členom 41(5), upravljavec ali obdelovalec osebnih podatkov ne sme prenesti v tretjo državo ali mednarodno organizacijo, razen če je v zvezi z varstvom osebnih podatkov v pravno zavezujočem aktu navedel ustrezne zaščitne ukrepe.

2. Ustrezni zaščitni ukrepi iz odstavka 1 se zagotovijo zlasti z:

2. Ustrezni zaščitni ukrepi iz odstavka 1 se zagotovijo zlasti z:

(a) zavezujočimi poslovnimi pravili v skladu s členom 43; ali

(a) zavezujočimi poslovnimi pravili v skladu s členom 43; ali

 

(aa) veljavnim „evropskim pečatom za varstvo podatkov“ za upravljavca in prejemnika v skladu s odstavkom 1e člena 39; ali

(b) standardnimi določili Komisije o varstvu podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2); ali

 

(c) standardnimi določili o varstvu podatkov, ki jih je sprejel nadzorni organ v skladu z mehanizmom za skladnost iz člena 57, ko jih Komisija v skladu s točko (b) člena 62(1) razglasi za splošno veljavna; ali

(c) standardnimi določili o varstvu podatkov, ki jih je sprejel nadzorni organ v skladu z mehanizmom za skladnost iz člena 57, ko jih Komisija v skladu s točko (b) člena 62(1) razglasi za splošno veljavna; ali

(d) pogodbenimi določbami med upravljavcem ali obdelovalcem in prejemnikom podatkov, ki jih je odobril nadzorni organ v skladu z odstavkom 4.

(d) pogodbenimi določbami med upravljavcem ali obdelovalcem in prejemnikom podatkov, ki jih je odobril nadzorni organ v skladu z odstavkom 4.

3. Za prenos, ki temelji na standardnih določilih o varstvu podatkov ali zavezujočih poslovnih pravilih iz točk (a), (b) ali (c) odstavka 2, dodatno pooblastilo ni potrebno.

3. Za prenos, ki temelji na standardnih določilih o varstvu podatkov, „evropskem pečatu za varstvo podatkov“ ali zavezujočih poslovnih pravilih iz točk (a), (aa) ali (c) odstavka 2, posebno pooblastilo ni potrebno.

4. Kadar prenos temelji na pogodbenih določbah iz točke (d) odstavka 2 tega člena, upravljavec ali obdelovalec od nadzornega organa pridobi predhodno odobritev pogodbenih določb v skladu s točko (a) člena 34(1). Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

4. Kadar prenos temelji na pogodbenih določbah iz točke (d) odstavka 2 tega člena, upravljavec ali obdelovalec od nadzornega organa pridobi predhodno odobritev pogodbenih določb. Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

5. Kadar ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov niso zagotovljeni v pravno zavezujočem aktu, upravljavec ali obdelovalec za prenos ali niz prenosov ali določbe, ki bodo vstavljene v upravne dogovore, ki določajo podlago za tak prenos, pridobi predhodno odobritev. Taka odobritev s strani nadzornega organa je v skladu s točko (a) člena 34(1). Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57. Odobritve s strani nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavne, dokler jih ta nadzorni organ ne spremeni, nadomesti ali razveljavi.

5. Odobritve s strani nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavne dve leti po začetku veljavnosti te uredbe, razen če jih ta nadzorni organ spremeni, nadomesti ali razveljavi pred koncem tega obdobja.

Predlog spremembe  139

Predlog uredbe

Člen 43

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Prenosi z zavezujočimi poslovnimi pravili

Prenosi z zavezujočimi poslovnimi pravili

1. Nadzorni organ v skladu z mehanizmom za skladnost iz člena 58 zavezujoča poslovna pravila odobri, če:

1. Nadzorni organ v skladu z mehanizmom za skladnost iz člena 58 zavezujoča poslovna pravila odobri, če:

(a) so pravno zavezujoča, veljajo za vsakega člana povezane družbe upravljavca ali obdelovalca, jih izvajajo vsi člani te družbe in obsegajo tudi zaposlene v tej družbi;

(a) so pravno zavezujoča, veljajo za vsakega člana povezane družbe upravljavca in tiste zunanje podizvajalce, za katere veljajo zavezujoča poslovna pravila, jih izvajajo vsi člani te družbe in zunanji izvajalci in obsegajo tudi zaposlene v tej družbi in zunanjih podizvajalcih;

(b) izrecno podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki;

(b) izrecno podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki;

(c) izpolnjujejo zahteve iz odstavka 2.

(c) izpolnjujejo zahteve iz odstavka 2.

 

1a. Kar zadeva podatke o zaposlitvi, so predstavniki zaposlenih obveščeni o pripravi zavezujočih poslovnih pravil v skladu s členom 43, ter pri tem v skladu s pravom in prakso Unije ali države članice tudi sodelujejo.

2. Zavezujoča poslovna pravila določajo vsaj:

2. Zavezujoča poslovna pravila določajo vsaj:

(a) strukturo in kontaktne podatke povezane družbe in njenih članov;

(a) strukturo in kontaktne podatke povezane družbe in njenih članov ter tistih zunanjih podizvajalcev, za katere veljajo zavezujoča poslovna pravila;

(b) prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, vrsto posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter opredelitvijo zadevne tretje države ali držav;

(b) prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, vrsto posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter opredelitvijo zadevne tretje države ali držav;

(c) njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(c) njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d) splošna načela o varstvu podatkov, zlasti omejitev namena, kakovost podatkov, pravno podlago za obdelavo, obdelavo občutljivih osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve za nadaljnje prenose v organizacije, ki jih politike ne zavezujejo;

(d) splošna načela o varstvu podatkov, zlasti omejitev namena, zmanjšanje količine podatkov na najmanjšo možno mero, omejena obdobja hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo občutljivih osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve za nadaljnje prenose v organizacije, ki jih politike ne zavezujejo;

(e) pravice posameznikov, na katere se nanašajo osebni podatki, in sredstva za uveljavljanje teh pravic, vključno s pravico, da posameznik ni predmet ukrepa na podlagi oblikovanja profilov v skladu s členom 20, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 75 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(e) pravice posameznikov, na katere se nanašajo osebni podatki, in sredstva za uveljavljanje teh pravic, vključno s pravico, da posameznik ni predmet ukrepa na podlagi oblikovanja profilov v skladu s členom 20, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 75 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f) sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli člana povezane družbe, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti lahko delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, na podlagi katerega je škoda nastala;

(f) sprejemanje odgovornosti s strani upravljavca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli člana povezane družbe, ki nima sedeža v Uniji; upravljavec je iz te odgovornosti lahko delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, na podlagi katerega je škoda nastala;

(g) načine, na katere se informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 11;

(g) načine, na katere se informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 11;

(h) naloge uradne osebe za varstvo podatkov, imenovane v skladu s členom 35, vključno s spremljanjem skladnosti z zavezujočimi poslovnimi pravili znotraj povezane družbe, pa tudi spremljanjem usposabljanja in obravnavanja pritožb;

(h) naloge uradne osebe za varstvo podatkov, imenovane v skladu s členom 35, vključno s spremljanjem skladnosti z zavezujočimi poslovnimi pravili znotraj povezane družbe, pa tudi spremljanjem usposabljanja in obravnavanja pritožb;

(i) mehanizme v povezani družbi, ki so namenjeni zagotavljanju preverjanja skladnosti z zavezujočimi poslovnimi pravili;

(i) mehanizme v povezani družbi, ki so namenjeni zagotavljanju preverjanja skladnosti z zavezujočimi poslovnimi pravili;

(j) mehanizme za poročanje in evidentiranje sprememb politik ter poročanje o teh spremembah nadzornemu organu;

(j) mehanizme za poročanje in evidentiranje sprememb politik ter poročanje o teh spremembah nadzornemu organu;

(k) mehanizem sodelovanja z nadzornim organom, da se zagotovi upoštevanje pravil s strani vsakega člana povezane družbe, zlasti z dajanjem rezultatov preverjanj ukrepov iz točke (i) tega odstavka na voljo nadzornemu organu.

(k) mehanizem sodelovanja z nadzornim organom, da se zagotovi upoštevanje pravil s strani vsakega člana povezane družbe, zlasti z dajanjem rezultatov preverjanj ukrepov iz točke (i) tega odstavka na voljo nadzornemu organu.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za zavezujoča poslovna pravila v smislu tega člena, zlasti glede meril za njihovo odobritev in uporabe točk (b), (d), (e) in (f) odstavka 2 za zavezujoča poslovna pravila, ki veljajo za obdelovalce, ter nadaljnjih zahtev, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki.

3. Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 86 v zvezi s podrobnejšim določanjem formata, postopkov, meril in zahtev za zavezujoča poslovna pravila v smislu tega člena, zlasti glede meril za njihovo odobritev, vključno s preglednostjo za posameznike, na katere se nanašajo osebni podatki, in uporabe točk (b), (d), (e) in (f) odstavka 2 za zavezujoča poslovna pravila, ki veljajo za obdelovalce, ter nadaljnjih zahtev, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki.

4. Komisija lahko določi obliko zapisa in postopke za izmenjavo informacij z elektronskimi sredstvi med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila v smislu tega člena. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

Predlog spremembe  140

Predlog uredbe

Člen 43 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 43a

 

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

 

1. Nobena sodba sodišča in nobena odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva razkritje osebnih podatkov, se ne prizna niti ni izvršljiva na noben način, brez poseganja v pogodbo ali mednarodni sporazum o medsebojni pravni pomoči, sklenjen med tretjo državo prosilko in Unijo ali državo članico.

 

2. Če sodba sodišča ali odločba upravnega organa tretje države od upravljavca ali obdelovalca zahteva razkritje osebnih podatkov, mora upravljavec ali obdelovalec in predstavnik upravljavca, če obstaja, o zahtevi brez neupravičenega odlašanja obvestiti pristojni nadzorni organ in od njega pridobiti predhodno odobritev za prenos ali razkritje.

 

3. Nadzorni organ oceni skladnost zahtevanega razkritja s to uredbo in zlasti, ali je razkritje potrebno in zakonsko predpisano v skladu s točkama (d) in (e) odstavka 1 in odstavkom 5 člena 44. Če to vpliva na posameznike, na katere se nanašajo osebni podatki, iz drugih držav članic, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

 

4. Nadzorni organ o zahtevi obvesti pristojni nacionalni organ. Ne glede na člen 21 upravljavec oziroma obdelovalec o zahtevi in odobritvi nadzornega organa obvesti tudi posameznike, na katere se nanašajo osebni podatki, in jih, kjer je to primerno, obvesti o tem, ali so imeli v zadnjem nepretrganem dvanajstmesečnem obdobju dostop do osebnih podatkov tudi javni organi, v skladu s točko (ha) člena 14(1).

 

Predlog spremembe  141

Predlog uredbe

Člen 44

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Odstopanja

Odstopanja

1. Če sklep o ustreznosti v skladu s členom 41 ali ustrezni zaščitni ukrepi v skladu s členom 42 niso bili sprejeti, se prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede samo pod pogojem, da:

1. Če sklep o ustreznosti v skladu s členom 41 ali ustrezni zaščitni ukrepi v skladu s členom 42 niso bili sprejeti, se prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede samo pod pogojem, da:

(a) je posameznik, na katerega se nanašajo osebni podatki, po tem, ko je bil obveščen o nevarnostih takih prenosov zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, privolil v predlagani prenos; ali

(a) je posameznik, na katerega se nanašajo osebni podatki, po tem, ko je bil obveščen o nevarnostih takih prenosov zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, privolil v predlagani prenos; ali

(b) je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(b) je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c) je prenos potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki; ali

(c) je prenos potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki; ali

(d) je prenos potreben zaradi pomembnih javnih interesov; ali

(d) je prenos potreben zaradi pomembnih javnih interesov; ali

(e) je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali

(e) je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali

(f) je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; ali

(f) je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; ali

(g) se prenos opravi iz registra, ki je po zakonodaji Unije ali zakonodaji držav članic namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže pravni interes, v kolikor so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni v zakonodaji Unije ali zakonodaji držav članic; ali

(g) se prenos opravi iz registra, ki je po zakonodaji Unije ali zakonodaji držav članic namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže pravni interes, v kolikor so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni v zakonodaji Unije ali zakonodaji držav članic.

(h) je prenos potreben zaradi pravnih interesov, za katere si prizadeva upravljavec ali obdelovalec in ki jih ni mogoče šteti za pogoste ali množične, ter kadar je upravljavec ali obdelovalec ocenil vse okoliščine prenosa podatkov ali niza prenosov podatkov in na podlagi te ocene po potrebi predvidel ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

 

2. Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali vseh vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo pravni interes, se prenos opravi samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

2. Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali vseh vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo pravni interes, se prenos opravi samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

3. Kadar obdelava temelji na točki (h) odstavka 1, upravljavec ali obdelovalec posebno pozornost nameni naravi podatkov, namenu in trajanju predlaganega postopka ali postopkov obdelave ter razmeram v državi izvora, tretji državi in končni namembni državi ter po potrebi predvidi ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

 

4. Točke (b), (c) in (h) odstavka 1 ne veljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pristojnosti.

4. Točki (b) in (c) odstavka 1 ne veljata za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pristojnosti.

5. Javni interes iz točke (d) odstavka 1 mora biti priznan v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca.

5. Javni interes iz točke (d) odstavka 1 mora biti priznan v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca.

6. Upravljavec ali obdelovalec dokumentira oceno in predvidene ustrezne zaščitne ukrepe iz točke (h) odstavka 1 tega člena v dokumentaciji iz člena 28 in o prenosu obvesti nadzorni organ.

 

7. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi „pomembne javne interese“ v smislu točke (d) odstavka 1 ter merila in zahteve za ustrezne zaščitne ukrepe iz točke (h) odstavka 1.

7. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) odstavka 66(1), s katerimi podrobneje določi merila in zahteve za prenose podatkov na podlagi odstavka 1.

Predlog spremembe  142

Predlog uredbe

Člen 45 – odstavek 1 – točka a

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(a) oblikovanje učinkovitih mehanizmov mednarodnega sodelovanja za spodbujanje uveljavljanja zakonodaje o varstvu osebnih podatkov;

(a) oblikovanje učinkovitih mehanizmov mednarodnega sodelovanja za zagotovitev uveljavljanja zakonodaje o varstvu osebnih podatkov;

Predlog spremembe  143

Predlog uredbe

Člen 45 – odstavek 1 – točka d a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(da) razjasnijo spore v zvezi s sodno pristojnostjo s tretjimi državami in se o njih posvetujejo.

Predlog spremembe  144

Predlog uredbe

Člen 45 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 45a

 

Poročilo Komisije

 

Komisija Evropskemu parlamentu in Svetu redno, z začetkom najpozneje štiri leta po datumu iz člena 91(1), posreduje poročilo o uporabi členov 40 do 45. V ta namen lahko Komisija od držav članic in nadzornih organov zahteva podatke, ki jih morajo ti predložiti brez neupravičenega odlašanja. Poročilo se objavi.

Predlog spremembe  145

Predlog uredbe

Člen 47 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno.

1. Nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno in nepristransko, ne glede na pravila o sodelovanju in skladnosti iz Poglavja VII te uredbe.

Predlog spremembe  146

Predlog uredbe

Člen 47 – odstavek 7 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

7a. Vsaka država članica zagotovi, da nadzorni organ odgovarja nacionalnemu parlamentu v zvezi s proračunskim nadzorom.

Predlog spremembe  147

Predlog uredbe

Člen 50

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Poklicna molčečnost

Poklicna molčečnost

Člani in osebje nadzornega organa so tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti.

Člani in osebje nadzornega organa so v skladu z nacionalno zakonodajo in prakso tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti, ki jih opravljajo na neodvisen in pregleden način, kot je določeno v tej uredbi.

Predlog spremembe  148

Predlog uredbe

Člen 51 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Vsak nadzorni organ na ozemlju svoje države članice izvaja pooblastila, ki so mu bila podeljena v skladu s to uredbo.

1. Vsak nadzorni organ je na ozemlju svoje države članice pristojen za izvajanje nalog in pooblastil, ki so mu bila podeljena v skladu s to uredbo, brez poseganja v člena 73 in 74. Obdelavo podatkov, ki jo izvaja javni organ, nadzoruje samo nadzorni organ te države članice.

Predlog spremembe  149

Predlog uredbe

Člen 51 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Kadar se obdelava osebnih podatkov izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici, je nadzorni organ glavnega sedeža upravljavca ali obdelovalca brez poseganja v določbe poglavja VII te uredbe pristojen za nadzor postopkov obdelave upravljavca ali obdelovalca v vseh državah članicah.

črtano

Predlog spremembe  150

Predlog uredbe

Člen 52 – odstavek 1 – točka b

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(b) obravnava pritožbe, ki jih v skladu s členom 73 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki zastopa posameznika, na katerega se nanašajo osebni podatki, v ustreznem obsegu prouči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša proučitev ali uskladitev z drugim nadzornim organom;

(b) obravnava pritožbe, ki jih v skladu s členom 73 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, v ustreznem obsegu prouči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša proučitev ali uskladitev z drugim nadzornim organom;

Predlog spremembe  151

Predlog uredbe

Člen 52 – odstavek 1 – točka d

Besedilo, ki ga predlaga Komisija

Predlog spremembe

(d) na lastno pobudo ali na podlagi pritožbe ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;

(d) na lastno pobudo ali na podlagi pritožbe ali določenih in dokumentiranih prejetih informacij o domnevni nezakoniti obdelavi ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;

Predlog spremembe  152

Predlog uredbe

Člen 52 – odstavek 1 – točka j a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

(ja) potrdi upravljavca ali obdelovalca v skladu s členom 39.

Predlog spremembe  153

Predlog uredbe

Člen 52 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke.

2. Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov ter o ustreznih ukrepih za zaščito osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke.

Predlog spremembe  154

Predlog uredbe

Člen 52 – odstavek 2 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

2a. Vsak nadzorni organ skupaj z Evropskim odborom za varstvo podatkov spodbuja ozaveščenost upravljavcev in obdelovalcev o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Sem spada tudi vodenje registra kazni in kršitev. V register bi bilo treba čim podrobneje vnesti tako vsa opozorila kot tudi kazni ter način reševanja kršitev. Vsak nadzorni organ zagotavlja upravljavcem in obdelovalcem v obliki mikro, malih in srednjih podjetij na zahtevo splošne informacije o njihovih odgovornostih in obveznostih na podlagi te uredbe.

Predlog spremembe  155

Predlog uredbe

Člen 52 – odstavek 6

Besedilo, ki ga predlaga Komisija

Predlog spremembe

6. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve nadzorni organ.

6. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna zmerno pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. Takšna pristojbina ne presega stroškov izvedbe zahtevanega ukrepa. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve nadzorni organ.

Predlog spremembe  156

Predlog uredbe

Člen 53

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pooblastila

Pooblastila

1. Vsak nadzorni organ je pooblaščen, da:

1. Vsak nadzorni organ je v skladu s to uredbo pooblaščen, da:

(a) upravljavca ali obdelovalca obvesti o domnevni kršitvi predpisov, ki urejajo obdelavo osebnih podatkov, in po potrebi upravljavcu ali obdelovalcu odredi, da na določen način odpravi to kršitev in tako izboljša varstvo posameznika, na katerega se nanašajo osebni podatki;

(a) upravljavca ali obdelovalca obvesti o domnevni kršitvi predpisov, ki urejajo obdelavo osebnih podatkov, in po potrebi upravljavcu ali obdelovalcu odredi, da na določen način odpravi to kršitev in tako izboljša varstvo posameznika, na katerega se nanašajo osebni podatki, ali upravljavcu naloži dolžnost, da posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varnosti osebnih podatkov;

 

(b) upravljavcu ali obdelovalcu odredi, da ugodi zahtevi posameznika, na katerega se nanašajo osebni podatki, v zvezi z uveljavljanjem pravic iz te uredbe;

(b) upravljavcu ali obdelovalcu odredi, da ugodi zahtevi posameznika, na katerega se nanašajo osebni podatki, v zvezi z uveljavljanjem pravic iz te uredbe;

(c) upravljavcu in obdelovalcu ter, kadar je to primerno, predstavniku odredi, da zagotovi vse informacije, potrebne za opravljanje njegovih nalog;

(c) upravljavcu in obdelovalcu ter, kadar je to primerno, predstavniku odredi, da zagotovi vse informacije, potrebne za opravljanje njegovih nalog;

(d) zagotovi skladnost s predhodnimi odobritvami in predhodnimi posvetovanji iz člena 34;

(d) zagotovi skladnost s predhodnimi odobritvami in predhodnimi posvetovanji iz člena 34;

(e) opozori ali opomni upravljavca ali obdelovalca;

(e) opozori ali opomni upravljavca ali obdelovalca;

(f) odredi popravek, izbris ali uničenje vseh podatkov, ki so bili obdelani s kršitvijo določb te uredbe, in o takih ukrepih obvesti tretje osebe, ki so jim bili podatki posredovani;

(f) odredi popravek, izbris ali uničenje vseh podatkov, ki so bili obdelani s kršitvijo določb te uredbe, in o takih ukrepih obvesti tretje osebe, ki so jim bili podatki posredovani;

(g) začasno ali dokončno prepove obdelavo;

(g) začasno ali dokončno prepove obdelavo;

(h) prekine prenose podatkov prejemniku v tretji državi ali mednarodni organizaciji;

(h) prekine prenose podatkov prejemniku v tretji državi ali mednarodni organizaciji;

(i) poda mnenja o vseh vprašanjih, povezanih z varstvom osebnih podatkov;

(i) poda mnenja o vseh vprašanjih, povezanih z varstvom osebnih podatkov;

 

(ia) potrdi upravljavca ali obdelovalca v skladu s členom 39;

(j) nacionalni parlament, vlado ali druge politične institucije in javnost obvesti o vseh vprašanjih, povezanih z varstvom osebnih podatkov.

(j) nacionalni parlament, vlado ali druge politične institucije in javnost obvesti o vseh vprašanjih, povezanih z varstvom osebnih podatkov;

 

(ja) vzpostavi učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te uredbe, ob upoštevanju smernic, ki jih je izdal Evropski odbor za varstvo podatkov v skladu s členom 66(4b).

2. Vsak nadzorni organ ima preiskovalna pooblastila, da od upravljavca ali obdelovalca pridobi:

2. Vsak nadzorni organ ima preiskovalna pooblastila, da od upravljavca ali obdelovalca brez predhodnega obvestila pridobi:

(a) dostop do vseh osebnih podatkov in vseh informacij, potrebnih za opravljanje njegovih nalog;

(a) dostop do vseh osebnih podatkov ter vseh dokumentov in informacij, potrebnih za opravljanje svojih nalog;

(b) dostop do vseh njunih prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov, kadar obstajajo utemeljeni razlogi za domnevo, da se tam izvaja dejavnost, ki krši to uredbo.

(b) dostop do vseh njegovih prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov.

Pooblastila iz točke (b) se izvajajo v skladu z zakonodajo Unije in zakonodajo držav članic.

Pooblastila iz točke (b) se izvajajo v skladu z zakonodajo Unije in zakonodajo držav članic.

3. Vsak nadzorni organ je pooblaščen, da pravosodne organe seznani s kršitvami te uredbe in sodeluje v sodnih postopkih, zlasti v skladu s členom 74(4) in členom 75(2).

3. Vsak nadzorni organ je pooblaščen, da pravosodne organe seznani s kršitvami te uredbe in sodeluje v sodnih postopkih, zlasti v skladu s členom 74(4) in členom 75(2).

4. Vsak nadzorni organ je pooblaščen za kaznovanje upravnih kršitev, zlasti tistih iz člena 79(4), (5) in (6).

4. Vsak nadzorni organ je v skladu s členom 79 pooblaščen za kaznovanje upravnih kršitev. Ta pooblastila se izvajajo na učinkovit, sorazmeren in odvračilen način.

Predlog spremembe  157

Predlog uredbe

Člen 54

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih. Poročilo se predloži nacionalnemu parlamentu ter da na voljo javnosti, Komisiji in Evropskemu odboru za varstvo podatkov.

Vsak nadzorni organ vsaj vsaki dve leti pripravi poročilo o svojih dejavnostih. Poročilo se predstavi zadevnemu parlamentu ter da na voljo javnosti, Komisiji in Evropskemu odboru za varstvo podatkov.

Predlog spremembe  158

Predlog uredbe

Člen 54 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 54a

 

Vodilni organ

 

1. Kadar se obdelava osebnih podatkov izvaja v okviru dejavnosti enote upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec enote v več kot eni državi članici ali kadar se obdelujejo osebni podatki državljanov več držav članic, nadzorni organ glavnega sedeža upravljavca ali obdelovalca deluje kot vodilni organ, pristojen za nadzor postopkov obdelave upravljavca ali obdelovalca v vseh državah članicah v skladu z določbami Poglavja VII te uredbe.

 

2. Vodilni nadzorni organ sprejme ustrezne ukrepe za nadzor postopkov obdelave upravljavca ali obdelovalca, za katerega je pristojen, le po tem, ko se posvetuje z vsemi ostalimi pristojnimi nadzornimi organi v smislu odstavka 1 člena 51 z namenom doseganja soglasja. V ta namen zlasti predloži vse ustrezne informacije in se posvetuje z drugimi organi pred sprejetjem ukrepa, katerega namen so pravni učinki za upravljavca ali obdelovalca v smislu odstavka 1 člena 51. Vodilni organ v čim večji meri upošteva mnenja udeleženih organov. Vodilni organ bo edini organ, pristojen za odločanje o ukrepih, katerih namen so pravni učinki za dejavnosti obdelave, ki jih izvaja upravljavec ali obdelovalec, za katerega je odgovoren vodilni organ.

 

3. Evropski odbor za varstvo podatkov na zahtevo pristojnega nadzornega organa izda mnenje o tem, kateri je vodilni organ, odgovoren za upravljavca ali obdelovalca, v primerih, kjer:

 

(a) iz dejstev primera ni jasno, kje je glavni sedež upravljavca ali obdelovalca; ali

 

(b) se pristojni organi ne strinjajo glede tega, kateri nadzorni organ deluje kot vodilni organ; ali

 

(c) upravljavec nima sedeža v Uniji, postopki obdelave v okviru področja uporabe te uredbe pa zadevajo državljane različnih držav članic.

 

3a. Kjer upravljavec opravlja tudi dejavnosti obdelovalca, nadzorni organ glavnega sedeža upravljavca deluje kot vodilni organ za nadzor dejavnosti obdelave.

 

4. Evropski odbor za varstvo podatkov lahko odloči o tem, kateri organ je vodilni organ.

Odstavek 1 predloga spremembe Parlamenta temelji na členu 51(2) predloga Komisije.)

Predlog spremembe  159

Predlog uredbe

Člen 55 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Nadzorni organi drug drugemu zagotovijo relevantne informacije in medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo to uredbo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih odobritev in posvetovanj, pregledov in takojšnjega obveščanja o začetku postopkov in nadaljnjem razvoju, kadar je verjetno, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah.

1. Nadzorni organi drug drugemu zagotovijo relevantne informacije in medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo to uredbo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih odobritev in posvetovanj, pregledov in preiskav ter takojšnjega obveščanja o začetku postopkov in nadaljnjem razvoju, kadar ima upravljavec ali obdelovalec enote v več državah članicah ali kadar je verjetno, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah. Vodilni organ, opredeljen v členu 54a, zagotovi usklajevanje z udeleženimi nadzornimi organi in deluje kot enotna kontaktna točka za upravljavca ali obdelovalca.

Predlog spremembe  160

Predlog uredbe

Člen 55 – odstavek 7

Besedilo, ki ga predlaga Komisija

Predlog spremembe

7. Za noben ukrep na podlagi zahteve za medsebojno pomoč se ne zaračuna pristojbina.

7. Za noben ukrep na podlagi zahteve za medsebojno pomoč se nadzornemu organu prosilcu ne zaračuna pristojbina.

Predlog spremembe  161

Predlog uredbe

Člen 55 – odstavek 8

Besedilo, ki ga predlaga Komisija

Predlog spremembe

8. Če nadzorni organ ne ukrepa v enem mesecu po prejemu zahteve drugega nadzornega organa, je nadzorni organ prosilec pristojen za sprejetje začasnih ukrepov na ozemlju svoje države članice v skladu s členom 51(1) in zadevo predloži Evropskemu odboru za varstvo podatkov v skladu s postopkom iz člena 57.

8. Če nadzorni organ ne ukrepa v enem mesecu po prejemu zahteve drugega nadzornega organa, je nadzorni organ prosilec pristojen za sprejetje začasnih ukrepov na ozemlju svoje države članice v skladu s členom 51(1) in zadevo predloži Evropskemu odboru za varstvo podatkov v skladu s postopkom iz člena 57. Če sprejetje dokončnega ukrepa še ni mogoče, ker se pomoč še ni zaključila, lahko nadzorni organ prosilec na ozemlju svoje države članice sprejme začasne ukrepe v skladu s členom 53.

Predlog spremembe  162

Predlog uredbe

Člen 55 – odstavek 9

Besedilo, ki ga predlaga Komisija

Predlog spremembe

9. Nadzorni organ določi obdobje veljavnosti takega začasnega ukrepa. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo.

9. Nadzorni organ določi obdobje veljavnosti takega začasnega ukrepa. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo v skladu s postopkom iz člena 57.

Predlog spremembe  163

Predlog uredbe

Člen 55 – odstavek 10

Besedilo, ki ga predlaga Komisija

Predlog spremembe

10. Komisija lahko določi obliko zapisa in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz odstavka 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

10. Evropski odbor za varstvo podatkov lahko določi obliko zapisa in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz odstavka 6.

Predlog spremembe  164

Predlog uredbe

Člen 56 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Kadar obstaja verjetnost, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnih preiskovalnih nalogah ali skupnem ukrepanju, kakor je primerno. Pristojni nadzorni organ k sodelovanju pri zadevnih skupnih preiskovalnih nalogah ali skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se nemudoma odzove na zahtevo nadzornega organa glede sodelovanja pri ukrepih.

2. Kadar ima upravljavec ali obdelovalec enote v več državah članicah ali kadar obstaja verjetnost, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnih preiskovalnih nalogah ali skupnem ukrepanju, kakor je primerno. Vodilni organ, kot je opredeljen v členu 54a, pri zadevnih skupnih preiskovalnih nalogah ali skupnem ukrepanju vključi nadzorni organ vsake od teh držav članic in se nemudoma odzove na zahtevo nadzornega organa glede sodelovanja pri ukrepih. Vodilni organ deluje kot enotna kontaktna točka za upravljavca ali obdelovalca.

Predlog spremembe  165

Predlog uredbe

Člen 57

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Mehanizem za skladnost

Mehanizem za skladnost

Za namene iz člena 46(1) nadzorni organi drug z drugim in s Komisijo sodelujejo prek mehanizma za skladnost, kot je določeno v tem oddelku.

Za namene iz člena 46(1) nadzorni organi drug z drugim in s Komisijo sodelujejo prek mehanizma za skladnost tako zadevajoč vprašanja splošnega pomena kot v posameznih primerih v skladu z določbami v tem oddelku.

Predlog spremembe  166

Predlog uredbe

Člen 58

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Mnenje Evropskega odbora za varstvo podatkov

Skladnost pri vprašanjih splošne uporabe

1. Preden nadzorni organ sprejme ukrep iz odstavka 2, ta nadzorni organ osnutek ukrepa posreduje Evropskemu odboru za varstvo podatkov in Komisiji.

1. Preden nadzorni organ sprejme ukrep iz odstavka 2, ta nadzorni organ osnutek ukrepa posreduje Evropskemu odboru za varstvo podatkov in Komisiji.

2. Obveznost iz odstavka 1 velja za ukrep, katerega namen so pravni učinki in ki:

2. Obveznost iz odstavka 1 velja za ukrep, katerega namen so pravni učinki in ki:

(a) se nanaša na postopke obdelave, povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah, ali s spremljanjem vedenja takih posameznikov; ali

 

(b) lahko znatno vpliva na prosti pretok osebnih podatkov v Uniji; ali

 

(c) je namenjen sprejetju seznama postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s členom 34(5); ali

 

(d) je namenjen določitvi standardnih določil o varstvu podatkov iz točke (c) člena 42(2); ali

(d) je namenjen določitvi standardnih določil o varstvu podatkov iz točke (c) člena 42(2); ali

(e) je namenjen odobritvi pogodbenih določb iz točke (d) člena 42(2); ali

(e) je namenjen odobritvi pogodbenih določb iz točke (d) člena 42(2); ali

(f) je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 43.

(f) je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 43.

3. Vsak nadzorni organ ali Evropski odbor za varstvo podatkov lahko zahteva, da se zadeva obravnava v mehanizmu za skladnost, zlasti če nadzorni organ ne predloži osnutka ukrepa iz odstavka 2 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56.

3. Vsak nadzorni organ ali Evropski odbor za varstvo podatkov lahko zahteva, da se zadeva splošne uporabe obravnava v mehanizmu za skladnost, zlasti če nadzorni organ ne predloži osnutka ukrepa iz odstavka 2 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56.

4. Za zagotovitev pravilne in dosledne uporabe te uredbe lahko Komisija zahteva, da se katera koli zadeva obravnava v mehanizmu za skladnost.

4. Za zagotovitev pravilne in dosledne uporabe te uredbe lahko Komisija zahteva, da se katera koli zadeva splošne uporabe obravnava v mehanizmu za skladnost.

5. Nadzorni organi in Komisija v standardizirani elektronski obliki sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa in razlogi, zaradi katerih je sprejetje takega ukrepa potrebno.

5. Nadzorni organi in Komisija v standardizirani elektronski obliki brez neupravičenega odlašanja sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa in razlogi, zaradi katerih je sprejetje takega ukrepa potrebno.

6. Predsednik Evropskega odbora za varstvo podatkov člane Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki nemudoma obvesti o vseh relevantnih informacijah, ki jih je prejel. Predsednik Evropskega odbora za varstvo podatkov po potrebi zagotovi prevode relevantnih informacij.

6. Predsednik Evropskega odbora za varstvo podatkov člane Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki brez neupravičenega odlašanja obvesti o vseh relevantnih informacijah, ki jih je prejel. Sekretariat Evropskega odbora za varstvo podatkov po potrebi zagotovi prevode relevantnih informacij.

 

6a. Evropski odbor za varstvo podatkov sprejme mnenje o zadevah, posredovanih v skladu z odstavkom 2.

7. Evropski odbor za varstvo podatkov o zadevi poda mnenje, če tako odloči enostavna večina njegovih članov ali če to zahteva kateri koli nadzorni organ ali Komisija, in sicer v enem tednu po prejemu relevantnih informacij v skladu z odstavkom 5. Mnenje se sprejme v enem mesecu z navadno večino članov Evropskega odbora za varstvo podatkov. Predsednik Evropskega odbora za varstvo podatkov o mnenju nemudoma obvesti nadzorni organ iz odstavka 1 oziroma odstavka 3, Komisijo in nadzorni organ, pristojen na podlagi člena 51, ter ga objavi.

7. Evropski odbor za varstvo podatkov lahko z navadno večino odloči, ali bo sprejel mnenje o zadevi, posredovani v skladu s odstavkoma 3 in 4, pri čemer upošteva:

 

(a) nove elemente v zadevi, upoštevajoč spremembe zakonskih ali dejanskih okoliščin, zlasti na področju informacijske tehnologije in glede na raven razvoja informacijske družbe; ter

 

(b) ali je Evropski odbor za varstvo podatkov že izdal mnenje o tej zadevi.

8. Nadzorni organ iz odstavka 1 in nadzorni organ, pristojen na podlagi člena 51, upoštevata mnenje Evropskega odbora za varstvo podatkov in v dveh tednih po tem, ko ju predsednik Evropskega odbora za varstvo podatkov obvesti o mnenju, predsednika Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki obvestita, ali bosta ohranila ali spremenila svoj osnutek ukrepa oziroma spremenjeni osnutek ukrepa, če obstaja.

8. Evropski odbor za varstvo podatkov sprejema mnenja v skladu z odstavkoma 6a in 7 z navadno večino svojih članov. Mnenja se objavijo.

Predlog spremembe  167

Predlog uredbe

Člen 58 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 58a

 

Skladnost v posameznih primerih

 

1. Pred sprejetjem ukrepa, katerega namen so pravni učinki v smislu člena 54a, vodilni organ vsem ostalim pristojnim organom posreduje vse ustrezne informacije in osnutek ukrepa. Vodilni organ ne sprejme ukrepa, če eden od pristojnih organov v roku treh tednov izrazi resne pomisleke v zvezi z ukrepom.

 

2. Če pristojni organ sporoči, da ima resne pomisleke v zvezi z osnutkom ukrepa vodilnega organa, ali če vodilni organ ne predloži osnutka ukrepa iz odstavka 1 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56, zadevo obravnava Evropski odbor za varstvo podatkov.

 

3. Vodilni organ in/ali drugi udeleženi pristojni organi in Komisija v standardizirani elektronski obliki brez neupravičenega odlašanja Evropskemu odboru za varstvo podatkov sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa, razlogi, zaradi katerih je sprejetje takega ukrepa potrebno, pomisleki proti ukrepi in mnenji drugih zadevnih nadzornih organov.

 

4. Evropski odbor za varstvo podatkov prouči zadevo, upoštevajoč učinek osnutka ukrepa vodilnega organa na temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in z navadno večino svojih članov v roku dveh tednov po prejetju ustreznih informacij v skladu z odstavkom 3 odloči, ali bo izdal mnenje o zadevi.

 

5. Če se Evropski odbor za varstvo podatkov odloči izdati mnenje, to stori v roku šestih tednov in mnenje objavi.

 

6. Vodilni organ v največji možni meri upošteva mnenje Evropskega odbora za varstvo podatkov in v dveh tednih po tem, ko ga predsednik Evropskega odbora za varstvo podatkov obvesti o mnenju, predsednika Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki obvesti, ali bo ohranil ali spremenil svoj osnutek ukrepa, ter posreduje morebitni spremenjeni osnutek ukrepa. Če vodilni organ ne namerava upoštevati mnenja Evropskega odbora za varstvo podatkov, o tem predloži obrazloženo utemeljitev.

 

7. Če se Evropski odbor za varstvo podatkov še vedno ne strinja z ukrepom nadzornega organa iz odstavka 5, lahko v roku enega meseca z dvotretjinsko večino sprejme ukrep, ki je pravno zavezujoč za nadzorni organ.

Predlog spremembe  168

Predlog uredbe

Člen 59

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Člen 59

črtano

Mnenje Komisije

 

1. V desetih tednih po obravnavanju vprašanja iz člena 58 ali najpozneje v šestih tednih v primeru člena 61 lahko Komisija za zagotovitev pravilne in dosledne uporabe te uredbe sprejme mnenje glede vprašanj, ki se pojavijo v skladu s členom 58 ali 61.

 

2. Če Komisija sprejme mnenje v skladu z odstavkom 1, zadevni nadzorni organ v največji možni meri upošteva mnenje Komisije ter Komisijo in Evropski odbor za varstvo podatkov obvesti, ali namerava svoj osnutek ukrepa ohraniti ali spremeniti.

 

3. V roku iz odstavka 1 nadzorni organ ne sprejme osnutka ukrepa.

 

4. Če zadevni nadzorni organ ne namerava upoštevati mnenja Komisije, Komisijo in Evropski odbor o varstvu podatkov o tem obvesti v roku iz odstavka 1 ter poda utemeljitev. V tem primeru se osnutek ukrepa ne sprejme še nadaljnji mesec.

 

Predlog spremembe  169

Predlog uredbe

Člen 60

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Člen 60

črtano

Začasni preklic osnutka ukrepa

 

1. Komisija lahko v enem mesecu po obvestilu iz člena 59(4), če ima resne pomisleke glede tega, ali bi osnutek ukrepa zagotovil pravilno uporabo te uredbe, ali meni, da bi kako drugače pripomogel k njeni nedosledni uporabi, sprejme obrazloženi sklep, v katerem od nadzornega organa zahteva, da začasno prekliče osnutek ukrepa, pri čemer upošteva mnenje Evropskega odbora za varstvo podatkov v skladu s členom 58(7) ali členom 61(2), če se to zdi potrebno zaradi:

 

(a) uskladitve razhajajočih se stališč nadzornega organa in Evropskega odbora za varstvo podatkov, če se to še zdi mogoče; ali

 

(b) sprejetja ukrepa v skladu s točko (a) člena 62(1).

 

2. Komisija določi trajanje začasnega preklica, ki ni daljše od 12 mesecev.

 

3. Nadzorni organ v roku iz odstavka 2 ne sme sprejeti osnutka ukrepa.

 

Predlog spremembe  170

Predlog uredbe

Člen 60 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 60a

 

Obveščanje Evropskega parlamenta in Sveta

 

Komisija redno, in sicer najmanj vsakih šest mesecev, na podlagi poročila predsednika Evropskega odbora za varstvo podatkov obvešča Evropski parlament in Svet o zadevah, ki se obravnavajo v okviru mehanizma za skladnost, pri čemer predstavi sklepe, ki sta jih sprejela Komisija in Evropski odbor za varstvo podatkov za zagotovitev skladnega izvajanja in uporabe te uredbe.

Predlog spremembe  171

Predlog uredbe

Člen 61 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. V izjemnih okoliščinah, kadar nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi bilo uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, zaradi spremembe obstoječega stanja ali preprečevanja negativnih učinkov ali iz drugih razlogov, znatno ovirano, lahko z odstopanjem od postopka iz člena 58 nemudoma sprejme začasne ukrepe z določenim obdobjem veljavnosti. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo.

1. V izjemnih okoliščinah, kadar nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi bilo uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, zaradi spremembe obstoječega stanja ali preprečevanja negativnih učinkov ali iz drugih razlogov, znatno ovirano, lahko z odstopanjem od postopka iz člena 58a nemudoma sprejme začasne ukrepe z določenim obdobjem veljavnosti. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo.

Predlog spremembe  172

Predlog uredbe

Člen 61 – odstavek 4

Besedilo, ki ga predlaga Komisija

Predlog spremembe

4. Z odstopanjem od člena 58(7) se nujno mnenje iz odstavkov 2 in 3 tega člena sprejme v dveh tednih z navadno večino članov Evropskega odbora za varstvo podatkov.

4. Nujno mnenje iz odstavkov 2 in 3 tega člena se sprejme v dveh tednih z navadno večino članov Evropskega odbora za varstvo podatkov.

Predlog spremembe  173

Predlog uredbe

Člen 62

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Izvedbeni akti

Izvedbeni akti

Komisija lahko sprejme izvedbene akte, s katerimi:

1. Komisija lahko potem, ko Evropski odbor za varstvo podatkov zaprosi za mnenje, sprejme splošno uporabne izvedbene akte, s katerimi:

(a) sprejme sklep glede pravilne uporabe te uredbe v skladu z njenimi cilji in zahtevami glede zadev, o katerih jo obvestijo nadzorni organi v skladu s členom 58 ali 61, glede zadeve, v zvezi s katero je bil sprejet obrazloženi sklep v skladu s členom 60(1), ali glede zadeve, v zvezi s katero nadzorni organ ne predloži osnutka ukrepa in je ta nadzorni organ navedel, da ne namerava upoštevati mnenja Komisije, sprejetega v skladu s členom 59;

 

(b) v roku iz člena 59(1) sprejme sklep, ali bo osnutke standardnih določil o varstvu podatkov iz točke (d) člena 58(2) razglasila za splošno veljavne;

(b) sprejme sklep, ali bo osnutke standardnih določil o varstvu podatkov iz točke (d) člena 42(2) razglasila za splošno veljavne;

(c) določi oblike zapisa in postopke za uporabo mehanizma za skladnost iz tega oddelka;

 

(d) določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz člena 58(5), (6) in (8).

(d) določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz člena 58(5), (6) in (8).

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

 

2. Komisija na podlagi ustrezno utemeljenih nujnih razlogov v zvezi z interesi posameznikov, na katere se nanašajo osebni podatki, v primerih iz točke (a) odstavka 1 sprejme izvedbene akte v skladu s postopkom iz člena 87(3), ki se začnejo uporabljati takoj. Ti akti ostanejo veljavni največ 12 mesecev.

 

3. Nesprejetje ali sprejetje ukrepa na podlagi tega oddelka ne posega v noben drug ukrep Komisije na podlagi Pogodb.

3. Nesprejetje ali sprejetje ukrepa na podlagi tega oddelka ne posega v noben drug ukrep Komisije na podlagi Pogodb.

Predlog spremembe  174

Predlog uredbe

Člen 63 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Če nadzorni organ ne predloži osnutka ukrepa v mehanizem za skladnost in krši člen 58(1) do (5), ukrep nadzornega organa ni pravno veljaven in izvršljiv.

2. Če nadzorni organ ne predloži osnutka ukrepa v mehanizem za skladnost in krši člen 58(1) in (2) ali ukrep sprejme kljub navedbi o odločnem nasprotovanju v skladu s členom 58a(1), ukrep nadzornega organa ni pravno veljaven in izvršljiv.

Predlog spremembe  175

Predlog uredbe

Člen 66

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Naloge Evropskega odbora za varstvo podatkov

Naloge Evropskega odbora za varstvo podatkov

1. Evropski odbor za varstvo podatkov zagotovi dosledno uporabo te uredbe. V ta namen Evropski odbor za varstvo podatkov na lastno pobudo ali na zahtevo Komisije zlasti:

1. Evropski odbor za varstvo podatkov zagotovi dosledno uporabo te uredbe. V ta namen Evropski odbor za varstvo podatkov na lastno pobudo ali na zahtevo Evropskega parlamenta, Sveta ali Komisije zlasti:

(a) Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(a) evropskim institucijam svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(b) na lastno pobudo, na pobudo katerega od svojih članov ali na zahtevo Komisije, prouči vsako vprašanje, ki se nanaša na uporabo te uredbe, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe te uredbe;

(b) na lastno pobudo, na pobudo katerega od svojih članov ali na zahtevo Evropskega parlamenta, Sveta ali Komisije prouči vsako vprašanje, ki se nanaša na uporabo te uredbe, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe te uredbe, vključno z uporabo izvršilnih pooblastil;

(c) pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;

(c) pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;

(d) poda mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 57;

(d) poda mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 57;

 

(da) poda mnenje o tem, kateri organ bi moral biti vodilni organ v skladu s členom 54a(3);

(e) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi;

(e) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi, vključno z usklajevanjem skupnega ukrepanja in drugih skupnih dejavnosti, če se tako odloči na zahtevo enega ali več nadzornih organov;

(f) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;

(f) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;

(g) spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi na področju varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(g) spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi na področju varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

 

(ga) poda svoje mnenje Komisiji v okviru priprave delegiranih in izvedbenih aktov na podlagi te uredbe;

 

(gb) poda svoje mnenje o pravilih ravnanja, oblikovanih na ravni Unije v skladu s členom 38(4);

 

(gc) poda svoje mnenje o merilih in zahtevah za mehanizme potrjevanja za varstvo podatkov v skladu s členom 39(3);

 

(gd) vodi javni elektronski register o veljavnih in neveljavnih potrdilih v skladu s členom 39(1h);

 

 

(ge) zagotovi pomoč nacionalnim nadzornim organom na njihovo zahtevo;

 

(gf) sestavi seznam postopkov obdelave, pri katerih se je treba predhodno posvetovati v skladu s členom 34, in ga objavi;

 

(gg) vodi register sankcij, ki so jih upravljavcem ali obdelovalcem naložili pristojni nadzorni organi.

2. Če Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.

2. Če Evropski parlament, Svet ali Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.

3. Evropski odbor za varstvo podatkov Komisiji in odboru iz člena 87 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

3. Evropski odbor za varstvo podatkov Evropskemu parlamentu, Svetu, Komisiji in odboru iz člena 87 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4. Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov.

4. Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov.

 

4a. Evropski odbor za varstvo podatkov se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Evropski odbor za varstvo podatkov brez poseganja v člen 72 objavi rezultate postopka posvetovanja.

 

4b. Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) odstavka 1 za določitev skupnih postopkov za prejemanje in preverjanje informacij, ki se nanašajo na obtožbe o nezakoniti obdelavi, ter zagotavljanje zaupnosti in varovanja virov prejetih informacij.

Predlog spremembe  176

Predlog uredbe

Člen 67 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Evropski odbor za varstvo podatkov Komisijo redno in pravočasno obvešča o rezultatih svojih dejavnosti. Pripravi letno poročilo o stanju glede varstva fizičnih oseb v zvezi z obdelavo osebnih podatkov v Uniji in tretjih državah.

Poročilo obsega pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (c) člena 66(1).

1. Evropski odbor za varstvo podatkov Evropski parlament, Svet in Komisijo redno in pravočasno obvešča o rezultatih svojih dejavnosti. Najmanj vsaki dve leti pripravi poročilo o stanju glede varstva fizičnih oseb v zvezi z obdelavo osebnih podatkov v Uniji in tretjih državah.

Poročilo obsega pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (c) člena 66(1).

Predlog spremembe  177

Predlog uredbe

Člen 68 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Evropski odbor za varstvo podatkov odločitve sprejema z navadno večino članov.

1. Evropski odbor za varstvo podatkov odločitve sprejema z navadno večino članov, razen če v njegovem poslovniku ni drugače določeno.

Predlog spremembe  178

Predlog uredbe

Člen 69 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Evropski odbor za varstvo podatkov izmed svojih članov izvoli predsednika in dva namestnika predsednika. Eden od namestnikov predsednika je Evropski nadzornik za varstvo podatkov, razen če je bil izvoljen za predsednika.

1. Evropski odbor za varstvo podatkov izmed svojih članov izvoli predsednika in najmanj dva namestnika predsednika.

Predlog spremembe  179

Predlog uredbe

Člen 69 – odstavek 2 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

2a. Mesto predsednika je delovno mesto s polnim delovnim časom.

Predlog spremembe  180

Predlog uredbe

Člen 71 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Sekretariat pod vodstvom predsednika zagotavlja analitično, upravno in logistično podporo Evropskemu odboru za varstvo podatkov.

2. Sekretariat pod vodstvom predsednika zagotavlja analitično, pravno, upravno in logistično podporo Evropskemu odboru za varstvo podatkov.

Predlog spremembe  181

Predlog uredbe

Člen 72 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Razprave Evropskega odbora za varstvo podatkov so zaupne.

1. Razprave Evropskega odbora za varstvo podatkov so lahko po potrebi zaupne, razen če je v poslovniku določeno drugače. Dnevni redi sej Evropskega odbora za varstvo podatkov se objavijo.

Predlog spremembe  182

Predlog uredbe

Člen 73

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica do vložitve pritožbe pri nadzornem organu

Pravica do vložitve pritožbe pri nadzornem organu

1. Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna s to uredbo.

1. Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku in mehanizem za skladnost ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna s to uredbo.

2. Vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov in ki je ustanovljen v skladu z zakonodajo države članice, ima pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe.

2. Vsak organ, organizacija ali združenje, ki deluje v javnem interesu in ki je ustanovljen v skladu z zakonodajo države članice, ima pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe.

3. Vsak organ, organizacija ali združenje iz odstavka 2 ima neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

3. Vsak organ, organizacija ali združenje iz odstavka 2 ima neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve te uredbe.

Predlog spremembe  183

Predlog uredbe

Člen 74

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ

Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ

1. Vsaka fizična ali pravna oseba ima pravico do pravnega sredstva v sodnem postopku zoper odločitve nadzornega organa v zvezi z njo.

1. Brez poseganja v vsako drugo pravno sredstvo v upravnem ali zunajsodnem postopku ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper odločitev nadzornega organa v zvezi z njo.

2. Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 52(1).

2. Brez poseganja v vsako drugo pravno sredstvo v upravnem ali zunajsodnem postopku ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 52(1).

3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

4. Posameznik, na katerega se nanašajo osebni podatki in odločitev nadzornega organa v državi članici, ki ni država članica, v kateri ima ta posameznik običajno prebivališče, lahko od nadzornega organa v državi članici, v kateri ima svoje običajno prebivališče, zahteva, da v njegovem imenu začne postopek zoper pristojni nadzorni organ v drugi državi članici.

4. Posameznik, na katerega se nanašajo osebni podatki in odločitev nadzornega organa v državi članici, ki ni država članica, v kateri ima ta posameznik običajno prebivališče, lahko brez poseganja v mehanizem za skladnost od nadzornega organa v državi članici, v kateri ima svoje običajno prebivališče, zahteva, da v njegovem imenu začne postopek zoper pristojni nadzorni organ v drugi državi članici.

5. Države članice izvršijo pravnomočne odločbe sodišč iz tega člena.

5. Države članice izvršijo pravnomočne odločbe sodišč iz tega člena.

Predlog spremembe  184

Predlog uredbe

Člen 75 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri je upravljavec ali obdelovalec ustanovljen. Alternativno so za take postopke pristojna sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec javni organ, ki izvaja svoja javna pooblastila.

2. Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri je upravljavec ali obdelovalec ustanovljen. Alternativno so za take postopke pristojna sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec javni organ Unije ali države članice, ki izvaja svoja javna pooblastila.

Predlog spremembe  185

Predlog uredbe

Člen 76 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Vsak organ, organizacija ali združenje iz člena 73(2) ima pravico do uveljavljanja pravic iz členov 74 in 75 v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki.

1. Vsak organ, organizacija ali združenje iz člena 73(2) ima pravico do uveljavljanja pravic iz členov 74, 75 in 77, če ima za to pooblastilo enega ali več posameznikov, na katere se nanašajo osebni podatki.

Predlog spremembe  186

Predlog uredbe

Člen 77 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Vsak posameznik, ki je utrpel škodo zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo s to uredbo, ima pravico od upravljavca ali obdelovalca dobiti odškodnino za nastalo škodo.

1. Vsak posameznik, ki je utrpel škodo, vključno z nepremoženjsko škodo, zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo s to uredbo, ima pravico od upravljavca ali obdelovalca zahtevati odškodnino za nastalo škodo.

Predlog spremembe  187

Predlog uredbe

Člen 77 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec solidarno odgovoren za celoten znesek škode.

2. Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak od teh upravljavcev ali obdelovalcev solidarno odgovoren za celoten znesek škode, razen če ti z ustreznim pisnim dogovorom določijo odgovornosti v skladu s členom 24.

Predlog spremembe  188

Predlog uredbe

Člen 79

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Upravne sankcije

Upravne sankcije

Vsak nadzorni organ je pooblaščen za izrekanje upravnih sankcij v skladu s tem členom.

1. Vsak nadzorni organ je pooblaščen za izrekanje upravnih sankcij v skladu s tem členom. Nadzorni organi med seboj sodelujejo v skladu s členoma 46 in 57 za zagotovitev harmonizirane ravni sankcij v Uniji.

2. Upravna sankcija mora biti v vsakem posameznem primeru učinkovita, sorazmerna in odvračilna. Znesek upravne kazni se določi glede na naravo, težo in trajanje kršitve, namerno ali malomarno naravo kršitve, stopnjo odgovornosti fizične ali pravne osebe in prejšnje kršitve te osebe, tehnične in organizacijske ukrepe ter postopke, uvedene v skladu s členom 23, in stopnjo sodelovanja z nadzornim organom pri odpravljanju kršitve.

2. Upravna sankcija mora biti v vsakem posameznem primeru učinkovita, sorazmerna in odvračilna.

 

2a. Nadzorni organ vsakomur, ki ne izpolnjuje obveznosti iz te uredbe, izreče najmanj eno od naslednjih sankcij:

 

a) pisno opozorilo v primerih prvega nenamernega neizpolnjevanja obveznosti;

 

b) redno preverjanje varstva podatkov,

 

c) denarno kazen v višini do 100 000 000 EUR ali za podjetja do 5 % skupnega letnega prometa, odvisno od tega, kateri znesek je višji.

 

2b. Če ima upravljavec ali obdelovalec veljaven „evropski pečat za varstvo podatkov“ v skladu s členom 39, se denarna kazen iz točke (c) odstavka 2a izreče samo v primerih namernega neizpolnjevanja obveznosti ali neizpolnjevanja obveznosti iz malomarnosti.

 

2c. Pri upravni sankciji se upoštevajo naslednji dejavniki:

 

a) vrsta, teža in trajanje neizpolnjevanja obveznosti;

 

b) kršitev je namerna ali posledica malomarnosti,

 

c) stopnja odgovornosti fizične ali pravne osebe in njene prejšnje kršitve,

 

d) ponavljajoča se narava kršitve,

 

e) stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

 

 

f) posebne vrste osebnih podatkov, ki jih zadeva kršitev,

 

(g) stopnja škode, vključno z nepremoženjsko škodo, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki;

 

(h) ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi ublažil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

 

(i) vse predvidene ali pridobljene finančne koristi, ki neposredno ali posredno izhajajo iz kršitve;

 

(j) stopnja tehničnih in organizacijskih ukrepov ter postopkov, uvedenih v skladu s:

 

(i)členom 23 – vgrajeno varstvo podatkov,

 

(ii) členom 30 – varnost obdelave,

 

(iii) členom 33 – ocena učinka o varstvu podatkov,

 

(iv) členom 33a – pregled skladnosti z varstvom podatkov;

 

(v)členom 35 – imenovanje uradne osebe za varstvo podatkov,

 

(k) zavrnitev sodelovanja pri inšpekcijskih pregledih, revizijah in kontrolah, ki jih izvaja nadzorni organ v skladu s členom 53, ali njihovo oviranje;

 

(l) drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera.

3. V primeru prve in nenamerne neskladnosti s to uredbo se lahko namesto sankcije izreče pisni opomin, kadar:

 

(a) fizična oseba osebne podatke obdeluje brez komercialnega interesa, ali

 

(b) podjetje ali organizacija, ki zaposluje manj kot 250 oseb, obdeluje osebne podatke samo kot postransko dejavnost.

 

4. Nadzorni organ izreče denarno kazen v višini do 250.000 EUR, oziroma v primeru podjetja do 0,5 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

 

(a) ne zagotovi mehanizmov za zahteve posameznikov, na katere se nanašajo osebni podatki, ali pa posameznikom, na katere se nanašajo osebni podatki, ne odgovori takoj ali v zahtevani obliki v skladu s členom 12(1) in (2);

 

(b) zaračuna pristojbino za informacije ali odgovore na zahteve posameznikov, na katere se nanašajo osebni podatki, in pri tem krši člen 12(4).

 

5. Nadzorni organ izreče denarno kazen v višini do 500 000 EUR, oziroma v primeru podjetja do 1 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

 

(a) posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi informacij ali ne zagotovi popolnih informacij ali ne zagotovi informacij na dovolj pregleden način v skladu s členom 11, členom 12(3) in členom 14;

 

(b) posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi dostopa ali ne popravi osebnih podatkov v skladu s členoma 15 in 16 ali relevantnih informacij ne sporoči prejemniku v skladu s členom 13;

 

(c) ne upošteva pravice biti pozabljen ali pravice do izbrisa ali ne vzpostavi mehanizmov, s katerimi bi zagotovil upoštevanje rokov, ali ne sprejme vseh potrebnih ukrepov za obveščanje tretjih oseb, da posameznik, na katerega se nanašajo osebni podatki, zahteva, da izbrišejo morebitne povezave do osebnih podatkov ali kopije osebnih podatkov v skladu s členom 17;

 

(d) ne zagotovi kopije osebnih podatkov v elektronski obliki ali posameznika, na katerega se nanašajo osebni podatki, ovira pri prenosu osebnih podatkov v drugo aplikacijo in pri tem krši člen 18;

 

(e) ne določi zadevnih odgovornosti z drugimi upravljavci v skladu s členom 24 ali jih ne določi v zadostni meri;

 

(f) ne ohrani dokumentacije v skladu s členom 28, členom 31(4) in členom 44(3);

 

(g) v primerih, kadar ne gre za obdelavo posebnih vrst podatkov, ne upošteva pravil glede svobode izražanja ali pravil o obdelavi v okviru zaposlitve ali pogojev glede obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členi 80, 82 in 83.

 

6. Nadzorni organ izreče denarno kazen v višini do 1 000 000 EUR, oziroma v primeru podjetja do 2 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

 

(a) obdeluje osebne podatke brez kakršne koli ali nezadostne pravne podlage za obdelavo ali ne izpolnjuje pogojev glede privolitve v skladu s členi 6, 7 in 8;

 

(b) obdeluje posebne vrste podatkov ter pri tem krši člena 9 in 81;

 

(c) ne upošteva ugovora ali zahteve v skladu s členom 19;

 

(d) ne izpolnjuje pogojev v zvezi z ukrepi na podlagi oblikovanja profilov v skladu s členom 20;

 

(e) ne sprejme notranjih politik ali ne izvede ustreznih ukrepov za zagotavljanje in dokazovanje skladnosti v skladu s členi 22, 23 in 30;

 

(f) ne imenuje predstavnika v skladu s členom 25;

 

(g) obdeluje ali da navodilo za obdelavo osebnih podatkov in pri tem krši obveznosti v zvezi z obdelavo v imenu upravljavca v skladu s členoma 26 in 27;

 

(h) nadzornega organa ali posameznika, na katerega se nanašajo osebni podatki, ne opozori ali ne obvesti o kršitvi varnosti osebnih podatkov v skladu s členoma 31 in 32 oziroma to obvestilo ni pravočasno ali popolno;

 

(i) ne izvede ocene učinka o varstvu podatkov ali obdeluje osebne podatke brez predhodne odobritve ali predhodnega posvetovanja z nadzornim organom v skladu s členoma 33 in 34;

 

(j) ne imenuje uradne osebe za varstvo podatkov ali ne zagotovi pogojev za opravljanje nalog v skladu s členi 35, 36 in 37;

 

(k) zlorabi pečat ali označbo za varstvo podatkov v smislu člena 39;

 

(l) izvede ali naroči prenos podatkov v tretjo državo ali mednarodno organizacijo, ki ga ne dovoljuje noben sklep o ustreznosti ali ustrezni zaščitni ukrepi, ali z odstopanjem od členov 40 do 44;

 

(m) ne upošteva odredbe ali začasne ali dokončne prepovedi obdelave ali prekinitve prenosa podatkov s strani nadzornega organa v skladu s členom 53(1);

 

(n) ne izpolni obveznosti glede pomoči ali odgovora ali zagotavljanja relevantnih informacij ali odobritve dostopa v prostore nadzornemu organu v skladu s členom 28(3), členom 29, členom 34(6) in členom 53(2);

 

(o) ne upošteva pravil glede varovanja poklicne molčečnosti v skladu s členom 84.

 

7. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi ob upoštevanju meril iz odstavka 2 posodobi zneske upravnih kazni iz odstavkov 4, 5 in 6.

7. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi ob upoštevanju meril in dejavnikov iz odstavkov 2 in 2c posodobi zneske upravnih kazni iz odstavka 2a.

Predlog spremembe  189

Predlog uredbe

Člen 80 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. Države članice določijo izjeme ali odstopanja od določb o splošnih načelih iz poglavja II, pravicah posameznikov, na katere se nanašajo osebni podatki, iz poglavja III, upravljavcu in obdelovalcu iz poglavja IV, prenosu osebnih podatkov v tretje države in mednarodne organizacije iz poglavja V, neodvisnih nadzornih organih iz poglavja VI ter sodelovanju in skladnosti iz poglavja VII za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, da bi uskladile pravico do varstva osebnih podatkov s pravili, ki urejajo pravico do svobode izražanja.

1. Države članice določijo izjeme ali odstopanja od določb o splošnih načelih iz poglavja II, pravicah posameznikov, na katere se nanašajo osebni podatki, iz poglavja III, upravljavcu in obdelovalcu iz poglavja IV, prenosu osebnih podatkov v tretje države in mednarodne organizacije iz poglavja V, neodvisnih nadzornih organih iz poglavja VI, sodelovanju in skladnosti iz poglavja VII ter posebnih primerih obdelave podatkov iz poglavja IX, kadarkoli je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravili, ki urejajo pravico do svobode izražanja v skladu z Listino Evropske unije o temeljnih pravicah.

Predlog spremembe  190

Predlog uredbe

Člen 80 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 80a

 

Dostop do dokumentov

 

1. Osebne podatke v dokumentih, ki jih ima javni organ ali ustanova, lahko ta organ ali ustanova razkrije v skladu z zakonodajo Unije ali države članice, ki ureja dostop javnosti do uradnih dokumentov in usklajuje pravico do varstva osebnih podatkov in načelo dostopa javnosti do uradnih dokumentov.

 

2. Vsaka država članica Komisijo uradno obvesti o svojih zakonskih predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Predlog spremembe  191

Predlog uredbe

Člen 81

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obdelava osebnih podatkov v zvezi z zdravjem

Obdelava osebnih podatkov v zvezi z zdravjem

1. V mejah te uredbe in v skladu s točko (h) člena 9(2) mora obdelava osebnih podatkov v zvezi z zdravjem potekati na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne in posebne ukrepe za varovanje pravnih interesov posameznika, na katerega se nanašajo osebni podatki, in biti potrebna:

1. V skladu s pravili iz te uredbe, zlasti s točko (h) člena 9(2), mora obdelava osebnih podatkov v zvezi z zdravjem potekati na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne, dosledne in posebne ukrepe za varovanje interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, če so ti potrebni in sorazmerni ter lahko posameznik, na katerega se nanašajo osebni podatki, predvidi njihove učinke, in sicer:

(a) za namene preventivne ali poklicne medicine, zdravstvene diagnoze, za zagotovitev oskrbe ali zdravljenja ali upravljanje storitev zdravstvenega varstva in kadar te podatke obdeluje zdravstveni delavec, za katerega velja obveznost poklicne molčečnosti, ali druga oseba, za katero prav tako velja enaka obveznost molčečnosti na podlagi zakonodaje države članice ali pravil, ki jih sprejmejo pristojni nacionalni organi; ali

(a) za namene preventivne ali poklicne medicine, zdravstvene diagnoze, za zagotovitev oskrbe ali zdravljenja ali upravljanje storitev zdravstvenega varstva in kadar te podatke obdeluje zdravstveni delavec, za katerega velja obveznost poklicne molčečnosti, ali druga oseba, za katero prav tako velja enaka obveznost molčečnosti na podlagi zakonodaje države članice ali pravil, ki jih sprejmejo pristojni nacionalni organi; ali

(b) zaradi javnega interesa na področju javnega zdravja, na primer zaščite pred resnimi čezmejnimi nevarnostmi za zdravje ali zagotavljanja visokih standardov kakovosti in varnosti, med drugim zdravil ali medicinskih naprav; ali

(b) zaradi javnega interesa na področju javnega zdravja, na primer zaščite pred resnimi čezmejnimi nevarnostmi za zdravje ali zagotavljanja visokih standardov kakovosti in varnosti, med drugim zdravil ali medicinskih naprav, če te podatke obdeluje oseba, ki je zavezana molčečnosti; ali

(c) iz drugih razlogov na področjih, kot je socialno varstvo, predvsem za zagotovitev kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za obravnavanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja.

(c) iz drugih razlogov na področjih, kot je socialno varstvo, predvsem za zagotovitev kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za obravnavanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ter za zagotavljanje zdravstvenih storitev. Ta obdelava osebnih podatkov v zvezi z zdravjem zaradi interesa javnega zdravja ne sme privesti do obdelave teh podatkov v druge namene, razen s privolitvijo posameznika, na katerega se nanašajo osebni podatki, in na podlagi zakonodaje Unije ali države članice.

 

1a. Kadar je mogoče namene iz točk (a) do (c) odstavka 1 uresničiti brez uporabe osebnih podatkov, se taki podatki ne uporabijo v te namene, razen na podlagi privolitve posameznika, na katerega se nanašajo osebni podatki, ali zakonodaje države članice.

 

1b. Če je za obdelavo zdravstvenih podatkov izključno za namene javnega zdravja potrebna privolitev posameznika, na katerega se nanašajo osebni podatki, se lahko privolitev poda za enega ali več posebnih in podobnih raziskav. Posameznik, na katerega se nanašajo osebni podatki, pa lahko privolitev vedno umakne.

 

1c. Za namene privolitve za sodelovanje v znanstvenoraziskovalnih dejavnostih kliničnega preskušanja se uporabljajo ustrezne določbe Direktive 2001/20/ES Evropskega parlamenta in Sveta1.

2. Za obdelavo osebnih podatkov v zvezi z zdravjem, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, kot so registri pacientov, uvedeni zaradi izboljšanja diagnoz in za razlikovanje med podobnimi vrstami bolezni ter pripravo študij za terapije, veljajo pogoji in zaščitni ukrepi iz člena 83.

2. Obdelava osebnih podatkov v zvezi z zdravjem, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, je dovoljena le s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 83.

 

2a. Zakonodaja držav članic lahko določa izjeme od zahteve za privolitev v raziskave, kot je določeno v odstavku 2, če so te raziskave v velikem javnem interesu in jih nikakor ni mogoče izvesti drugače. Zadevni podatki se anonimizirajo ali, če to v raziskovalne namene ni mogoče, se psevdonimizirajo v skladu z najvišjimi tehničnimi standardi; prav tako se sprejmejo vsi potrebni ukrepi za preprečevanje neupravičene ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da v skladu s členom 19 kadar koli temu nasprotuje.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi druge javne interese na področju javnega zdravja, kakor je navedeno v točki (b) odstavka 1, ter merila in zahteve za zaščitne ukrepe za obdelavo osebnih podatkov v namene iz odstavka 1.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov po zarositvi Evropskega odbora za varstvo podatkov za mnenje, s katerimi podrobneje določi druge javne interese na področju javnega zdravja, kakor je navedeno v točki (b) odstavka 1, ter velik javni interes na področju raziskav iz odstavka 2a.

 

 

3a. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

 

1 Direktiva 2001/20/ES Evropskega parlamenta in Sveta z dne 4. aprila 2001 o približevanju zakonov in drugih predpisov držav članic v zvezi z izvajanjem dobre klinične prakse pri kliničnem preskušanju zdravil za ljudi (UL L 121, 1.5.2001, str. 34).

Predlog spremembe  192

Predlog uredbe

Člen 82

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obdelava v okviru zaposlitve

Minimalni standardi za obdelavo podatkov v okviru zaposlitve

1. V mejah te uredbe lahko države članice z zakonom sprejmejo posebna pravila, ki urejajo obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

1. V skladu z določbami te uredbe in ob upoštevanju načela sorazmernosti lahko države članice z zakonskimi predpisi sprejmejo posebna pravila, ki urejajo obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti, vendar ne zgolj, za namene zaposlovanja in kandidature znotraj povezane družbe, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom in kolektivnimi pogodbami, v skladu z nacionalnim pravom in prakso, za namene upravljanja, načrtovanja in organizacije dela, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja. Države članice lahko dovolijo, da se v kolektivnih pogodbah podrobneje opredelijo določbe iz tega člena.

 

1a. Namen obdelave teh podatkov mora biti neposredno povezan z razlogom, zaradi katerega so se zbirali, in ostati v okviru zaposlitve. Oblikovanje profilov ali uporaba za sekundarne namene nista dovoljena.

 

1b. Privolitev uslužbenca ne zagotavlja pravne podlage za obdelavo podatkov s strani delodajalca, če privolitev ni bila dana prostovoljno.

 

1c. Ne glede na druge določbe te uredbe zakonski predpisi držav članic iz odstavka 1 vključujejo vsaj naslednje minimalne standarde:

 

 

(a) obdelava podatkov zaposlenih brez njihove vednosti ni dovoljena. Države članice lahko ne glede na prvi stavek z zakonom tovrstno prakso dopustijo, pri čemer določijo ustrezen rok za izbris podatkov, če na podlagi dejanskih dokazov obstaja utemeljen sum, da je zaposleni v okviru zaposlitve storil kaznivo dejanje ali hudo zanemarjal delovne obveznosti, če je poleg tega treba podatke zbrati za razjasnitev zadeve ter sta vrsta in obseg zbiranja podatkov nujna in sorazmerna glede na namen. Zasebnost zaposlenih mora biti vedno zaščitena. Preiskavo mora opraviti pristojni organ;

 

(b) javen optično-elektronski ali zvočno-elektronski nadzor nejavnih prostorov podjetja, ki so v prvi vrsti namenjeni zasebnim dejavnostim zaposlenega, zlasti sanitarij, garderob, prostorov za počitek in spalnic, je prepovedan. Skriven nadzor ni dovoljen v nobenih okoliščinah;

 

(c) če podjetja ali organi zbirajo ali obdelujejo osebne podatke v okviru zdravniških pregledov in/ali preskusov usposobljenosti, morajo kandidatu ali zaposlenemu predhodno razložiti, za kaj se bodo ti podatki uporabljali, in mu jih kasneje skupaj z rezultati izročiti ter na zahtevo tudi obrazložiti. Zbiranje podatkov za genske teste in analize je že v načelu prepovedano;

 

(d) s kolektivno pogodbo se lahko določi, ali in v kolikšni meri je uporaba telefona, elektronske pošte, interneta in drugih telekomunikacijskih storitev dovoljena za zasebno uporabo. Če to s kolektivno pogodbo ni določeno, delodajalec neposredno z zaposlenim sklene ustrezni dogovor o tem vprašanju. Če je zasebna uporaba dovoljena, je obdelava pri tem nastalih podatkov dovoljena zlasti za zagotovitev varnosti podatkov, pravilnega delovanja telekomunikacijskih omrežij in telekomunikacijskih storitev ter za obračun.

 

Države članice lahko ne glede na tretji stavek z zakonom tovrstno prakso dopustijo, pri čemer določijo ustrezen rok za izbris podatkov, če na podlagi dejanskih dokazov obstaja utemeljen sum, da je zaposleni v okviru zaposlitve storil kaznivo dejanje ali hudo zanemarjal delovne obveznosti, če je poleg tega treba podatke zbrati za razjasnitev zadeve ter sta vrsta in obseg zbiranja podatkov nujna in sorazmerna glede na namen. Zasebnost zaposlenih mora biti vedno zaščitena. Preiskavo mora opraviti pristojni organ;

 

(e) osebni podatki delavcev, zlasti občutljivi podatki o političnem prepričanju ter članstvu ali dejavnostih v sindikatih, se v nobenem primeru ne smejo uporabljati za uvrščanje delavcev na tako imenovane „črne sezname“ ali z namenom preverjanja ali oviranja njihovega dostopa do zaposlitve v prihodnosti. Obdelava podatkov, njihova uporaba v okviru zaposlitve, oblikovanje in posredovanje črnih seznamov ali druge oblike diskriminacije zaposlenih so prepovedani. Države članice za zagotovitev učinkovitega izvajanja te točke izvajajo preverjanja in sprejmejo ustrezne sankcije v skladu s členom 79(6).

 

1d. Posredovanje in obdelava osebnih podatkov zaposlenega med pravno ločenimi podjetji znotraj povezane družbe in s strani strokovnjakov za pravno in davčno svetovanje sta dovoljena, če služita poslovnim interesom in se uporabita za namenske delovne ali upravne postopke ter če nista v nasprotju z interesi in temeljnimi pravicami zadevne osebe, ki jih je treba varovati. Če se podatki o zaposlenem posredujejo v tretjo državo in/ali mednarodni organizaciji, se uporablja poglavje V.

2. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

2. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkoma 1 in 1b, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede zaščitnih ukrepov za obdelavo osebnih podatkov za namene iz odstavka 1.

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov po zarositvi Evropskega odbora za varstvo podatkov za mnenje, s katerimi podrobneje določi merila in zahteve glede zaščitnih ukrepov za obdelavo osebnih podatkov za namene iz odstavka 1.

Predlog spremembe  193

Predlog uredbe

Člen 82 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 82a

 

Obdelava podatkov v okviru socialne varnosti

 

1. Države članice lahko v skladu z določbami te uredbe sprejmejo posebne zakonodajne predpise, ki podrobno določajo pogoje za obdelavo osebnih podatkov s strani njihovih javnih institucij in oddelkov na področju socialne varnosti, če se ta obdelava izvaja v javnem interesu.

 

2. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Predlog spremembe  194

Predlog uredbe

Člen 83

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Obdelava v zgodovinske, statistične in znanstvenoraziskovalne namene

Obdelava v zgodovinske, statistične in znanstvenoraziskovalne namene

1. V mejah te uredbe se lahko osebni podatki obdelujejo v zgodovinske, statistične ali znanstvenoraziskovalne namene samo, če:

1. V skladu s pravili iz te uredbe se lahko osebni podatki obdelujejo v zgodovinske, statistične ali znanstvenoraziskovalne namene samo, če:

(a) teh namenov ni mogoče kako drugače uresničiti z obdelavo podatkov, ki ne omogoča ali več ne omogoča identifikacije posameznika, na katerega se nanašajo osebni podatki;

(a) teh namenov ni mogoče kako drugače uresničiti z obdelavo podatkov, ki ne omogoča ali več ne omogoča identifikacije posameznika, na katerega se nanašajo osebni podatki;

(b) se podatki, ki omogočajo povezavo informacij z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki, hranijo ločeno od drugih informacij, če se ti nameni lahko uresničijo na tak način.

(b) se podatki, ki omogočajo povezavo informacij z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki, hranijo ločeno od drugih informacij v skladu z najvišjimi tehničnimi standardi, ter so sprejeti vsi potrebni ukrepi za preprečevanje neupravičene ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki.

2. Organi, ki opravljajo zgodovinske, statistične ali znanstvene raziskave, lahko osebne podatke objavijo ali kako drugače javno razkrijejo samo, če je:

 

(a) posameznik, na katerega se nanašajo osebni podatki, dal privolitev v skladu s pogoji iz člena 7;

 

(b) objava osebnih podatkov potrebna zaradi predstavitve rezultatov raziskave ali olajšanja raziskave, če interesi ali temeljne pravice ali svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo nad temi interesi; or

 

(c) posameznik podatke objavil.

 

3. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obdelavo osebnih podatkov za namene iz odstavkov 1 in 2 ter morebitne potrebne omejitve glede pravic do obveščenosti posameznika, na katerega se nanašajo osebni podatki, in njegovega dostopa, ter podrobneje določi pogoje in zaščitne ukrepe za pravice posameznika, na katerega se nanašajo osebni podatki, v teh okoliščinah.

 

Predlog spremembe  195

Predlog uredbe

Člen 83 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 83a

 

Obdelava osebnih podatkov s strani službe za arhiviranje

 

1. Osebne podatke lahko po zaključku njihove prvotne obdelave, za katero so bili zbrani, obdela služba za arhiviranje, katerih glavna naloga ali obveznost je zbiranje, hramba, posredovanje informacij, uporaba in razširjanje arhivskega gradiva v javnem interesu, zlasti za uveljavljanje pravic posameznikov ali v zgodovinske, statistične ali znanstvenoraziskovalne namene. Te naloge se izvajajo v skladu s pravili držav članic v zvezi z dostopom do upravnih dokumentov in arhivskega gradiva ter njihovim posredovanjem ali razširjanjem ter v skladu s pravili iz te uredbe, zlasti v zvezi s privolitvijo in pravico do ugovora.

 

2. Vsaka država članica Komisijo uradno obvesti o svojih zakonskih predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Predlog spremembe  196

Predlog uredbe

Člen 84 – odstavek 1

Besedilo, ki ga predlaga Komisija

Predlog spremembe

1. V mejah te uredbe lahko države članice sprejmejo posebna pravila, s katerimi določijo preiskovalna pooblastila nadzornih organov iz člena 53(2) v zvezi z upravljavci ali obdelovalci, za katere velja nacionalna zakonodaja ali pravila, ki jih določijo pristojni nacionalni organi glede obveznosti poklicne molčečnosti ali druge enakovredne obveznosti molčečnosti, kadar je to potrebno in sorazmerno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti. Ta pravila veljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, zajete v tej obveznosti molčečnosti.

1. Države članice v skladu s pravili iz te uredbe zagotovijo uveljavitev posebnih pravil, ki določajo pooblastila nadzornih organov iz člena 53 v zvezi z upravljavci ali obdelovalci, za katere velja nacionalna zakonodaja ali pravila, ki jih določijo pristojni nacionalni organi glede obveznosti poklicne molčečnosti ali druge enakovredne obveznosti molčečnosti, kadar je to potrebno in sorazmerno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti. Ta pravila veljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, zajete v tej obveznosti molčečnosti.

Predlog spremembe  197

Predlog uredbe

Člen 85

Besedilo, ki ga predlaga Komisija

Predlog spremembe

Veljavna pravila o varstvu podatkov cerkva in verskih združenj

Veljavna pravila o varstvu podatkov cerkva in verskih združenj

1. Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo celovita pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta pravila lahko veljajo še naprej, če se uskladijo z določbami te uredbe.

1. Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo ustrezna pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta pravila lahko veljajo še naprej, če se uskladijo z določbami te uredbe.

2. Cerkve in verska združenja, ki uporabljajo celovita pravila v skladu z odstavkom 1, zagotovijo ustanovitev neodvisnega nadzornega organa v skladu s poglavjem VI te uredbe.

2. Cerkve in verska združenja, ki v skladu z odstavkom 1 uporabljajo ustrezna pravila, pridobijo mnenje o skladnosti v skladu s členom 38.

Predlog spremembe  198

Predlog uredbe

Člen 85 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 85a

 

Spoštovanje temeljnih pravic

 

S to uredbo se ne spreminja obveznost spoštovanja temeljnih pravic in temeljnih pravnih načel iz člena 6 PEU.

Predlog spremembe  199

Predlog uredbe

Člen 85 b (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 85b

 

Standardni obrazci

 

1. Komisija lahko ob upoštevanju posebnih značilnosti in potreb različnih sektorjev in primerov obdelave podatkov določi standardne obrazce za:

 

(a) posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 8(1),

 

(b) obveščanje iz člena 12(2), vključno z elektronsko obliko,

 

(c) zagotavljanje informacije iz odstavkov od 1 do 3 člena 14,

 

(d) zahtevanje informacij iz odstavka 15(1) in omogočanje dostopa do njih, tudi za sporočanje osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki,

 

(e) dokumentacijo iz odstavka 1 člena 28,

 

(f) obveščanje nadzornega organa o kršitvi v skladu s členom 31 in dokumentiranje iz člena 31(4),

 

(g) predhodno posvetovanje iz člena 34 in za predložitev informacij v skladu s členom 34(6).

 

2. Komisija pri tem sprejme ustrezne ukrepe za mikro, mala in srednja podjetja.

 

3. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Predlog spremembe  200

Predlog uredbe

Člen 86 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Pooblastilo iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 17(9), člena 20(7), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(6), člena 34(8), člena 35(11), člena 37(2), člena 39(2), člena 43(3), člena 44(7), člena 79(6), člena 81(3), člena 82(3) in člena 83(3) se na Komisijo prenese za nedoločen čas od dne začetka veljavnosti te uredbe.

2. Pooblastilo za sprejetje delegiranih aktov iz člena 13a(5), člena 17(9), člena 38(4), člena 39(2), člena 41(3), člena 41(5), člena 43(3), člena 79(7), člena 81(3) in člena 82(3) se prenese na Komisijo za nedoločen čas od datuma začetka veljavnosti te uredbe.

Predlog spremembe  201

Predlog uredbe

Člen 86 – odstavek 3

Besedilo, ki ga predlaga Komisija

Predlog spremembe

3. Evropski parlament ali Svet lahko kadar koli prekliče pooblastilo iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 17(9), člena 20(5), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(7), člena 34(8), člena 35(11), člena 37(2), člena 39(2), člena 43(3), člena 44(7), člena 79(6), člena 81(3), člena 82(3) in člena 83(3). S sklepom o preklicu preneha veljati pooblastilo iz navedenega sklepa. Preklic začne veljati dan po objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem naveden. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

3. Pooblastilo iz člena 13a(5), člena 17(9), člena 38(4), člena 39(2), člena 41(3), člena 41(5), člena 43(3), člena 79(7), člena 81(3) in člena 82(3) lahko kadarkoli prekliče Evropski parlament ali Svet. Z odločitvijo o preklicu preneha veljati prenos pooblastila, naveden v tej odločitvi. Odločitev začne učinkovati dan po njeni objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je v njej določen. Odločitev ne vpliva na veljavnost že veljavnih delegiranih aktov.

Predlog spremembe  202

Predlog uredbe

Člen 86 – odstavek 5

Besedilo, ki ga predlaga Komisija

Predlog spremembe

5. Delegirani akt, sprejet v skladu s členom 6(5), členom 8(3), členom 9(3), členom 12(5), členom 14(7), členom 15(3), členom 17(9), členom 20(5), členom 22(4), členom 23(3), členom 26(5), členom 28(5), členom 30(3), členom 31(5), členom 32(5), členom 33(7), členom 34(8), členom 35(11), členom 37(2), členom 39(2), členom 43(3), členom 44(7), členom 79(6), členom 81(3), členom 82(3) in členom 83(3), začne veljati le, če mu Evropski parlament ali Svet v dveh mesecih od obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne nasprotujeta ali če sta pred iztekom navedenega roka oba obvestila Komisijo, da mu ne bosta nasprotovala. Navedeni rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

5. Delegirani akt, sprejet v skladu s členom 13a(5), členom 17(9), členom 38(4), členom 39(2), členom 41(3), členom 41(5), členom 43(3), členom 79(7), členom 81(3) in členom 82(3), začne veljati le, če niti Evropski parlament niti Svet ne nasprotuje delegiranemu aktu v roku šestih mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če sta pred iztekom tega roka tako Evropski parlament kot Svet obvestila Komisijo, da ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za šest mesecev.

 

Predlog spremembe  203

Predlog uredbe

Člen 87 – odstavek 3

Besedilo, ki ga predlaga Komisija

Predlog spremembe

3. Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe.

črtano

Predlog spremembe  204

Predlog uredbe

Člen 89 – odstavek 2

Besedilo, ki ga predlaga Komisija

Predlog spremembe

2. Člen 1(2) Direktive 2002/58/ES se črta.

2. Členi 1(2), 4 in 15 Direktive 2002/58/ES se črtajo.

Predlog spremembe  205

Predlog uredbe

Člen 89 – odstavek 2 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

2a. Komisija nemudoma, najpozneje pa do datuma iz člena 91(2) predloži predlog za revizijo pravnega okvira za obdelavo osebnih podatkov in varstvo zasebnosti v elektronskih komunikacijah, da bi ga uskladila s to uredbo in tako zagotovila dosledne in usklajene pravne določbe v zvezi s temeljno pravico do varstva osebnih podatkov v Evropski uniji.

Predlog spremembe  206

Predlog uredbe

Člen 89 a (novo)

Besedilo, ki ga predlaga Komisija

Predlog spremembe

 

Člen 89a

 

Povezava z Uredbo (ES) 45/2001/ES in njena sprememba

 

1. Pravila iz te uredbe se uporabljajo za obdelavo osebnih podatkov v institucijah, organih, uradih in agencijah Unije v zvezi z zadevami, za katere se ne uporabljajo dodatna pravila iz Uredbe (ES) št 45/2001.

 

2. Komisija nemudoma, najpozneje pa do datuma iz člena 91(2) predloži predlog za revizijo pravnega okvira, ki se uporablja za obdelavo osebnih podatkov v institucijah, organih, uradih in agencijah Unije.

Priloga 1 – Predstavitev navedb iz člena 13a (novo)

1) Ob upoštevanju razmerij iz točke 6 se navedbe zagotovijo v naslednji obliki:

2) Naslednje besede v vrsticah v drugem stolpcu preglednice v točki 1 z naslovom BISTVENE INFORMACIJE so izpisane s krepkim tiskom:

a) beseda „zbirajo“ v prvi vrstici drugega stolpca;

b) beseda „hranijo“ v drugi vrstici drugega stolpca;

c) beseda „obdelujejo“ v tretji vrstici drugega stolpca;

d) beseda „posredujejo“ v četrti vrstici drugega stolpca;

e) beseda „prodajajo in oddajajo“ v peti vrstici druge kolumne;

f) beseda „nešifrirani“ v šesti vrstici drugega stolpca;

3) Ob upoštevanju razmerij iz točke 6 se vrstice v tretjem stolpcu preglednice v točki 1 z naslovom IZPOLNJENO izpolnijo z enim od naslednjih grafičnih znakov v skladu s pogoji iz točke 4:

a)

b)

4)

a) Če se osebni podatki ne zbirajo v večjem obsegu, kot je nujno potrebno za vsak posamezen namen obdelave, se v prvo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

b) Če se osebni podatki zbirajo v večjem obsegu, kot je nujno potrebno za vsak posamezen namen obdelave, se v prvo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

c) Če se osebni podatki ne hranijo dlje, kot je nujno potrebno za vsak posamezen namen obdelave, se v drugo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

d) Če se osebni podatki hranijo dlje, kot je nujno potrebno za vsak posamezen namen obdelave, se v drugo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

e) Če se osebni podatki ne obdelujejo za druge namene, razen tistih, za katere so bili zbrani, se v tretjo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

f) Če se osebni podatki obdelujejo za druge namene, razen tistih, za katere so bili zbrani, se v tretjo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

g) Če se osebni podatki ne posredujejo komercialnim tretjim strankam, se v četrto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

h) Če se osebni podatki posredujejo komercialnim tretjim strankam, se v četrto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

i) Če se osebni podatki ne prodajajo ali oddajajo, se v peto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

j) Če se osebni podatki prodajajo ali oddajajo, se v peto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

k) Če se osebni podatki ne hranijo v nešifrirani obliki, se v šesto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

l) Če se osebni podatki hranijo v nešifrirani obliki, se v šesto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

5) Referenčni barvi grafičnih znakov v točki 1 v barvah Pantone sta Black Pantone št. 7547 in Red Pantone št. 485. Referenčna barva grafičnega znaka v točki 3a v barvah Pantone je Green Pantone št. 370. Referenčna barva grafičnega znaka v točki 3b v barvah Pantone je Red Pantone št. 485.

6) Razmerja iz spodnje mrežne risbe se ohranijo, tudi če je preglednica pomanjšana ali povečana.

(1)

UL C 229, 31.7.2012, str.90.


OBRAZLOŽITEV

Uvod

Člen 8 Listine EU o temeljnih pravicah v zvezi s pravico do varstva osebnih podatkov določa naslednje:

1.        Vsakdo ima pravico do varstva osebnih podatkov, ki se nanj nanašajo.

2.        Osebni podatki se morajo obdelovati pošteno, za določene namene in na podlagi privolitve prizadete osebe ali na drugi legitimni podlagi, določeni z zakonom. Vsakdo ima pravico dostopa do podatkov, zbranih o njem, in pravico zahtevati, da se ti podatki popravijo.

3.        Spoštovanje teh pravil nadzira neodvisen organ.

Od sprejetja Direktive 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov je na področju varstva podatkov prišlo do velikih sprememb, zlasti z ozirom na tehnološki razvoj, povečano zbiranje in obdelavo osebnih podatkov (tudi zaradi kazenskega pregona), vključno z mozaikom pravil o varstvu podatkov ter globalizacijo trgov in sodelovanjem.

Poleg tega z direktivo zaradi različnega izvajanja njenih določb v državah članicah ni bila dosežena ustrezna harmonizacija. Zato so posamezniki („posamezniki, na katere se nanašajo osebni podatki“) vedno težje uveljavljali pravico do varstva podatkov.

Poleg tega je to oviralo razvoj enotnega trga, saj so se podjetja (ki upravljajo ali obdelujejo osebne podatke, „upravljavci podatkov“) in posamezniki srečevali z razlikami v zahtevah glede varstva podatkov.

Z začetkom veljavnosti Lizbonske pogodbe je Unija dobila izrecno pravno podlago za varstvo podatkov, ki zajema obdelavo osebnih podatkov v javnem in zasebnem sektorju ter v okviru kazenskega pregona (zaradi razpada „stebrne strukture“ EU pred Lizbonsko pogodbo) (člen 16(2) PDEU). Komisija sedaj kot pravno podlago za predložitev predlogov za revizijo okvira Unije za varstvo podatkov uporablja člen 16(2) PDEU. Komisija predlaga uredbo (COM(2012)0011), ki bo nadomestila Direktivo 95/46/ES (poročevalec: Jan Philipp Albrecht, Verts/ALE), in direktivo (COM(2012)0010), ki bo nadomestila Okvirni sklep Sveta 2008/977/PNZ o varstvu osebnih podatkov, ki se obdelujejo za namene preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj (poročevalec: Dimitrios Droutsas, S&D).. Poročevalca podpirata cilj, da se vzpostavi popolnoma usklajen, harmoniziran in trden okvir z visoko ravnjo varstva podatkov pri vseh dejavnostih njihove obdelave v EU(1). Da pa bi ga dosegli, je treba predloge Komisije obravnavati kot en sveženj, zato je potreben usklajen zakonodajni pristop za obe besedili.

Med poročevalci in poročevalci v senci, pripravljavci mnenj in poročevalci odborov za mnenje v senci (ITRE, IMCO, JURI, EMPL), predsedstvom Sveta, Komisijo in zainteresiranimi stranmi (organi za varstvo podatkov, nacionalnimi organi, sektorjem ter organizacijami za državljanske pravice in potrošniškimi organizacijami, akademskimi strokovnjaki) so potekale obsežne razprave v zvezi z reformo varstva podatkov, da bi zagotovili širšo podporo pristopu Parlamenta.

Odbor LIBE je 29. maja 2012 organiziral delavnico za zainteresirane strani. Poleg tega je ta odbor 9. in 10. oktobra 2012 z nacionalnimi parlamenti v območju svobode, varnosti in pravice organiziral letno medparlamentarno sejo odborov o svežnju za reformo varstva podatkov. V zvezi s svežnjem za reformo varstva podatkov so bili pripravljeni štirje delovni dokumenti.

Stališče o osnutku uredbe o varstvu podatkov

Predlog Komisije temelji na naslednjih ciljih:

– celovit pristop k varstvu podatkov,

– krepitev pravic posameznikov,

– nadaljnji razvoj razsežnosti notranjega trga in zagotavljanje boljšega izvrševanja pravil o varstvu podatkov ter

–krepitev globalne razsežnosti.

Poročevalec te cilje podpira, kar se tudi odraža v pristopu, ki ga predlaga.

Celovit pristop k varstvu podatkov

Kot navaja delovni dokument z dne 6. julija 2012(2), poročevalec pozdravlja dejstvo, da se je Komisija odločila nadomestiti Direktivo 95/46 z uredbo (ki se uporablja neposredno); ta uredba bi namreč zmanjšala razdrobljenost pristopa k varstvu podatkov med državami članicami.

Prav tako se strinja s pragmatičnim pristopom, ki ga je izbrala Komisija, in sicer da bi državam članicam v skladu z uredbo omogočili ohranitev ali sprejetje specifičnih pravil v zvezi z vprašanji, kot so svoboda izražanja, varovanje poslovne skrivnosti, zdravje in zaposlovanje (členi 81–85). Zlasti je treba opozoriti na delo Odbora za zaposlovanje in socialne zadeve, ki naj bi pripravil mnenje o členu 82(3).

Institucije EU ne sodijo v področje uporabe nove uredbe. Vendar bi jih bilo treba vključiti, da bi se vzpostavil usklajen in enoten okvir v Uniji. Za to bo potrebna sprememba pravnih instrumentov EU, zlasti Uredbe (ES) št. 45/2001, da bo popolnoma skladna s splošno uredbo o varstvu podatkov, preden se bo slednja začela izvajati. Poročevalec prav tako meni, da je potrebna širša horizontalna razprava o tem, kako je treba rešiti vprašanje sedanjega mozaika pravil o varstvu podatkov za različne agencije EU (kot sta Europol in Eurojust) in kako zagotoviti skladnost s svežnjem za varstvo podatkov (člen 2(b), člen 89a).

Poročevalec zelo obžaluje, da predlog Komisije ne zajema sodelovanja na področju kazenskega pregona (v zvezi s katerim je bila predlagana ločena direktiva). To povzroča pravno negotovost v zvezi s pravicami in obveznostmi v mejnih primerih, na primer kadar organi kazenskega pregona dostopajo do komercialnih podatkov zaradi kazenskega pregona in pri prenosih med organi, ki so odgovorni za kazenski pregon, in tistimi, ki niso. Ta vprašanja obravnava poročilo o predlagani direktivi, ki predlaga tudi spremembe. Uredba določa, da so iz področja uporabe uredbe izključeni le pristojni javni organi za dejavnosti kazenskega pregona (razen zasebnih subjektov) in da bi morala veljavna zakonodaja predvidevati ustrezne zaščitne ukrepe, ki temeljijo na načelih nujnosti in sorazmernosti (člena 2(2)(e) in 21).

Ozemeljski obseg uredbe je pomembna točka za dosledno izvajanje prava EU o varstvu podatkov. Poročevalec želi pojasniti, da bi se morala uredba uporabljati tudi za upravljavca, ki nima sedeža v Uniji, kadar so postopki obdelave namenjeni nudenju blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji, ne glede na to, ali je za to blago ali storitve potrebno plačilo, ali spremljanju takih posameznikov (člen 3(2)).

Uredba mora biti celovita tudi v smislu zagotavljanja pravne varnosti. Obsežna uporaba delegiranih in izvedbenih aktov je v nasprotju s tem ciljem. Zato poročevalec predlaga izbris več določb, ki pooblaščajo Komisijo za sprejemanje delegiranih aktov. Za zagotovitev pravne varnosti, kjer je to mogoče, pa je več aktov nadomestil z natančnejšim besedilom v uredbi (npr. členi 6(1b), 15, 35(10)). V drugih primerih poročevalec predlaga, da se Evropskemu odboru za varstvo podatkov zaupa naloga podrobnejše določitve meril in zahtev za specifične določbe, namesto da je Komisija pooblaščena za sprejemanje delegiranih aktov. Razlog za to je, da gre v teh primerih za sodelovanje med nacionalnimi nadzornimi organi, ki so bolje usposobljeni za določitev načel in praks, ki naj bi se uporabljali (npr. členi 23(3), 30(3), 42(3), 44(7), 55(10)).

Krepitev pravic posameznikov

Ker uredba spoštuje temeljno pravico do varstva podatkov, se omejitev področja uporabe, zlasti v zvezi z opredelitvijo „osebnih podatkov“, na primer z uvedbo subjektivnih elementov v povezavi s prizadevanji, ki bi jih moral upravljavec podatkov vložiti v določitev osebnih podatkov, zavrne. Pojem osebnih podatkov dodatno pojasnjujejo objektivna merila (člen 4(1); uvodni izjavi 23 in 24). Utemeljene pomisleke v zvezi s specifičnimi poslovnimi modeli je mogoče obravnavati, ne da bi bile posameznikom kratene temeljne pravice. V zvezi s tem poročevalec spodbuja psevdonimno in anonimno uporabo storitev. Za uporabo psevdonimnih podatkov bi lahko določili olajšave v zvezi z obveznostmi za upravljavca podatkov (člena 4(2)(a) in 10, uvodna izjava 23).

Privolitev mora ostati temelj pristopa EU k varstvu podatkov, saj lahko tako posamezniki kar najbolje nadzorujejo dejavnosti obdelave podatkov. Informacije za posameznike, na katere se podatki nanašajo, je treba predstaviti v lahko razumljivi obliki, kot so standardizirani logotipi ali ikone (člen 11(2a), (2b)). Tehnični standardi, ki izražajo jasne želje posameznika, se lahko štejejo za veljavno obliko posredovanja izrecne privolitve (člena 7(2a) in 23).

Da bi zagotovili informirano privolitev k dejavnostim profiliranja, morajo biti te opredeljene in regulirane (členi 4(3b), 14(1)(g), (ga) in (gb), 15(1), 20). Drugi pravni razlogi za obdelavo razen privolitve, zlasti „pravni interesi“ posameznika, na katerega se nanašajo osebni podatki, morajo biti jasno opredeljeni (predlog spremembe, ki nadomešča člen 6(1)(f) z novim členom 6(1a), (1b), (1c)).

Omejitev namena je bistveni del varstva podatkov, saj varuje posameznike, na katere se podatki nanašajo, pred nepredvidljivim podaljšanjem obdelave podatkov. Sprememba namena osebnih podatkov po tem, ko so bili zbrani, naj ne bi bila možna zgolj na podlagi pravnega interesa upravljavca podatkov. Zato poročevalec predlaga črtanje namesto razširitve člena 6(4).

Poročevalec podpira krepitev pravice do dostopa, vključno s pravico do prenosljivosti podatkov – možnost prenosa podatkov z ene platforme na drugo. V digitalni dobi lahko posamezniki, na katere se nanašajo osebni podatki, tudi v vlogi potrošnikov upravičeno pričakujejo, da bodo svoje osebne informacije prejeli v splošno uporabni elektronski obliki (člen 15(2a)). Zato predlaga združitev členov 15 in 18.

Pravica do izbrisa in pravica do popravka ostajata pomembni za posameznike, na katere se nanašajo osebni podatki, saj se razkriva vse več informacij, kar lahko ima znatne posledice. V tem okviru je treba obravnavati tudi „pravico biti pozabljen“; predlagani predlogi sprememb pojasnjujejo te pravice za digitalno okolje, obenem pa ohranjajo splošno izjemo za svobodo izražanja. Kadar se podatki prenesejo na tretje osebe ali se objavijo brez primerne pravne podlage, mora prvotni upravljavec podatkov te tretje osebe obvestiti in zagotoviti izbris podatkov. Če se je posameznik strinjal z objavo svojih podatkov, potem „pravica biti pozabljen“ ni niti pravno upravičena niti realistična (člen 17, uvodna izjava 54).

Pravica do ugovora proti nadaljnji obdelavi podatkov mora biti vedno brezplačna, posameznika, na katerega se nanašajo osebni podatki, pa je treba o tej pravici izrecno poučiti v jasnem, razumljivem in prilagojenem jeziku (člen 19(2)). Prav tako je treba izboljšati možnosti učinkovitega pravnega varstva, tudi prek združenj, ki delujejo v javnem interesu (člena 73 in 76).

Nadaljnji razvoj razsežnosti notranjega trga in zagotavljanje boljšega izvrševanja pravil o varstvu podatkov

Poročevalec pozdravlja predlagani prehod z zahtev glede obveščanja organov za varstvo podatkov na praktično odgovornost in uradne osebe za varstvo podatkov v podjetjih. Predlagano uredbo je mogoče poenostaviti z združitvijo pravic do informacij in zahtev glede dokumentacije, ki sta dejansko dve plati iste medalje. To bo zmanjšalo upravna bremena za upravljavce podatkov in posameznikom olajšalo razumevanje in uveljavljanje njihovih pravic (člena 14 in 28). V času računalništva v oblaku prag za obvezno imenovanje uradne osebe za varstvo podatkov ne sme temeljiti zgolj na velikosti podjetja, temveč na pomembnosti obdelave podatkov (vrsta osebnih podatkov, vrsta dejavnosti obdelave in število posameznikov, katerih podatki se obdelujejo) (člen 35). Pojasnjeno je, da lahko uradne osebe za varstvo podatkov opravljajo funkcijo za skrajšan delovni čas, odvisno od velikosti družbe in obsega obdelave podatkov (uvodna izjava 75).

Vgrajeno in privzeto varstvo podatkov je poželo odobravanje kot temeljna novost, ki jo prinaša reforma. To bi zagotovilo, da bi bili dejansko obdelani le podatki, ki so potrebni za posamezen namen. Proizvajalci in ponudniki storitev morajo izvajati ustrezne ukrepe. Evropskemu odboru za varstvo podatkov je treba zaupati nalogo zagotavljanja nadaljnjih smernic (člen 23). Predlogi sprememb v zvezi z ocenami učinka na zasebnost so namenjeni podrobnejši določitvi primerov, v katerih je treba izvesti te ocene (člen 33(2)), in elementov, ki jih je treba oceniti (člen 33(3)).

Poročevalec predlaga podaljšanje roka, v katerem je treba o kršitvi varnosti osebnih podatkov obvestiti nadzorni organ, in sicer s 24 na 72 ur. Poleg tega je treba posameznike, na katere se nanašajo osebni podatki, da bi preprečili njihovo preobremenjenost zaradi obveščanja, obveščati le o primerih, v katerih bo kršitev varnosti osebnih podatkov verjetno škodljivo vplivala na varstvo njihovih osebnih podatkov ali njihovo zasebnost, na primer v primeru kraje ali zlorabe identitete, finančne izgube, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo mora vključevati tudi opis kršitve varnosti osebnih podatkov in informacije o pravicah, vključno z možnostmi pravnega varstva (člena 31 in 32). V zvezi z obvestili o kršitvah, ocenami učinka in pravico do izbrisa in biti pozabljen se predlaga, da Komisija sprejme delegirane akte pred začetkom veljavnosti uredbe, da bi se zagotovila pravna varnost (člen 86(5a)).

Pravila ravnanja ter potrjevanje in pečati se podpirajo, vendar so potrebne tudi spodbude za njihovo uveljavitev in uporabo ter jasnejša pravila o načelih, ki jih morajo vsebovati, in posledicah v zvezi z zakonitostjo obdelave podatkov, odgovornostjo in sorodnimi vprašanji. Pravila ravnanja, ki jih Komisija razglasi za usklajene z uredbo, podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki. Mehanizmi potrjevanja morajo določati uradni postopek za izdajo in odvzem pečata ter zagotavljati upoštevanje načel varstva podatkov in pravic posameznikov, na katere se nanašajo osebni podatki (člena 38 in 39).

Uredba mora zagotoviti tudi enotni delovni okvir za vse organe za varstvo podatkov. Za delovanje organov za varstvo podatkov, ki morajo biti popolnoma neodvisni, je bistvenega pomena, da imajo na voljo dovolj sredstev za učinkovito opravljanje nalog (člen 47). Okrepilo se bo tudi sodelovanje med organi za varstvo podatkov v okviru Evropskega odbora za varstvo podatkov (ki bo nadomestil sedanjo „delovno skupino iz člena 29“). Poročevalec meni, da je predvideni mehanizem za sodelovanje in skladnost med nacionalnimi organi za varstvo podatkov velik korak v smeri doslednega izvajanja zakonodaje o varstvu podatkov v vsej EU. Vendar model, ki ga je predlagala Komisija, ne zagotavlja potrebne neodvisnosti organov za varstvo podatkov. Po oceni različnih možnosti je bil predlagan nadomestni mehanizem, ki ohranja zamisel o vodilnem organu za varstvo podatkov, vendar se za zagotovitev skladnosti opira tudi na tesno sodelovanje med organi za varstvo podatkov (člena 51, 55a). Organ za varstvo podatkov je načeloma pristojen za nadzor postopkov obdelave, ki se izvajajo na njegovem ozemlju ali vplivajo na posameznike, na katere se nanašajo osebni podatki in ki živijo na njegovem ozemlju. V primeru dejavnosti obdelave upravljavca ali obdelovalca s sedežem v več kot eni državi članici ali dejavnosti, ki vplivajo na posameznike, na katere se nanašajo osebni podatki, v več državah članicah, bo organ za varstvo podatkov glavnega sedeža vodilni organ, ki bo deloval kot enotna kontaktna točka za upravljavca ali obdelovalca (vse na enem mestu). Vodilni organ zagotovi usklajenost s sodelujočimi organi in se pred sprejetjem ukrepa posvetuje z drugimi organi. V nejasnih primerih ali v primerih, ko se organi za varstvo podatkov ne strinjajo, vodilni organ imenuje Evropski odbor za varstvo podatkov. Če se organ za varstvo podatkov, ki sodeluje pri primeru, ne strinja z osnutkom ukrepa, ki ga je predlagal vodilni organ, Evropski odbor za varstvo podatkov poda mnenje. Če vodilni organ ne namerava upoštevati tega mnenja, o tem obvesti Evropski odbor za varstvo podatkov in predloži obrazloženo mnenje. Evropski odbor za varstvo podatkov lahko s kvalificirano večino sprejme končni sklep, ki je pravno zavezujoč za nadzorni organ. Ta sklep je mogoče sodno presojati (členi 45a, 55, 58). Prav tako lahko Komisija ta sklep izpodbija pred Sodiščem Evropske unije in zahteva ukinitev ukrepa (člen 61a).

Poročevalec podpira krepitev organov za varstvo podatkov v zvezi s preiskovalnimi pooblastili in sankcijami. Vendar je bil predlog Komisije preveč normativen. Poročevalec predlaga poenostavljen režim, ki organom za varstvo podatkov zagotavlja večjo diskretnost, hkrati pa Evropskemu odboru za varstvo podatkov daje nalogo zagotavljanja doslednosti izvrševanja (členi 52, 53, 78, 79). Pojasnjen je tudi sistem sankcij, in sicer z vključitvijo več meril, ki jih je treba upoštevati pri določanju višine denarne kazni, ki jo lahko naloži organ za varstvo podatkov.

Krepitev globalne razsežnosti

Tako kot doslej se ohrani pristojnost Komisije za sprejemanje sklepov, s katerimi priznava ustreznost ali neustreznost tretje države, ozemlja tretje države in mednarodnih organizacij. Vendar poročevalec zavrača predlagano novo možnost priznavanja ustreznosti sektorjev v tretjih državah, saj bi povečala pravno negotovost in ovirala uresničevanje cilja Unije glede harmoniziranega in skladnega mednarodnega okvira za varstvo podatkov. Merila za ocenjevanje ustreznosti tretje države so bila okrepljena (člen 41(2)). Prav tako je bilo predlagano, da se ugotovitev Komisije glede ustreznosti poda v delegiranem aktu namesto v izvedbenem, da bosta lahko Svet in Parlament uveljavljala pravico do nadzora (člen 41(3) in (5)).

Kadar ni bil sprejet sklep o ustreznosti, v katerem bi bilo določeno ustrezno varstvo in zaščitni ukrepi, mora upravljavec ali obdelovalec izvesti ustrezne zaščitne ukrepe, kot so zavezujoča poslovna pravila in standardna določila o varstvu podatkov, ki jih sprejme Komisija ali nadzorni organ. Predloga sprememb k členoma 41(1a) in 42 pojasnjujeta in natančneje opredeljujeta bistvene zaščitne ukrepe, ki jih morajo vsebovati ti instrumenti.

Predlagan je bil nov člen 43a za obravnavanje vprašanja v zvezi z zahtevki za dostop javnih organov ali sodišč v tretjih državah do osebnih podatkov, ki so shranjeni in obdelani v EU. Prenos lahko organ za varstvo podatkov odobri le, ko potrdi njegovo skladnost z uredbo in zlasti s členom 44(1)(d) ali (e). To vprašanje bo postalo še pomembnejše z razvojem računalništva v oblaku, zato ga je treba obravnavati v tej uredbi.

Povzetek

Poročevalec podpira cilj krepitve pravice do varstva osebnih podatkov, pri čemer je treba zagotoviti tudi enotni pravni okvir in zmanjšati upravna bremena za upravljavce podatkov. Predlaga čim večjo omejitev vloge Komisije pri izvajanju s pojasnitvijo bistvenih elementov v besedilu same uredbe in prepustitvijo praktičnega izvajanja mehanizmu za sodelovanje organov za varstvo podatkov. Predlaga nadaljnjo krepitev uporabe tehnoloških ukrepov za varstvo osebnih podatkov in zagotavljanje skladnosti, skupaj s spodbudami za upravljavce podatkov, ko uporabljajo te ukrepe. V skladu s pristopom odgovornosti se krepi vloga uradnih oseb za varstvo podatkov v podjetjih, zmanjšuje pa potreba po predhodnem posvetovanju z nadzornimi organi. Institucije, organe in agencije Unije je treba v srednjeročnem smislu postaviti v isti regulativni okvir. Če bodo lahko Parlament, Svet in Komisija te elemente podprli, bo novi pravni okvir za varstvo podatkov zagotovil izboljšanje tako za posameznike kot za upravljavce podatkov in bo pripravljen na izzive prihodnjih let.

V okviru obsežnega dela v sodelovanju s poročevalci v senci vseh političnih skupin in pripravljavci mnenj je poročevalec pripravil obsežen sklop predlogov sprememb, ki odražajo razprave med sodelujočimi kolegi. To poročilo predstavlja več kompromisov, zlasti v zvezi z načeli, pravnimi razlogi za obdelavo osebnih podatkov, pravicami posameznikov, na katere se na