Kazalo 
 Prejšnje 
 Naslednje 
 Celotno besedilo 
Postopek : 2012/0011(COD)
Potek postopka na zasedanju
Potek postopka za dokument : A7-0402/2013

Predložena besedila :

A7-0402/2013

Razprave :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Glasovanja :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Sprejeta besedila :

P7_TA(2014)0212

Sprejeta besedila
PDF 1183kWORD 1092k
Sreda, 12. marec 2014 - Strasbourg Končna izdaja
Varstvo posameznikov pri obdelavi osebnih podatkov ***I
P7_TA(2014)0212A7-0402/2013
Resolucija
 Prečiščeno besedilo

Zakonodajna resolucija Evropskega parlamenta z dne 12. marca 2014 o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) (Redni zakonodajni postopek: prva obravnava)

Evropski parlament,

–  ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2012)0011),

–  ob upoštevanju členov 294(2), 16(2) in 114(1) Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija podala predlog Parlamentu (C7–0025/2012),

–  ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,

–  ob upoštevanju obrazloženih mnenj belgijske poslanske zbornice, nemškega zveznega sveta, francoskega senata, italijanske poslanske zbornice in švedskega parlamenta v skladu s Protokolom št. 2 o uporabi načel subsidiarnosti in sorazmernosti, v katerih izjavljajo, da osnutek zakonodajnega predloga ni v skladu z načelom subsidiarnosti,

–  ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora z dne 23. maja 2012(1) ,

–  po posvetovanju z Odborom regij,

–  ob upoštevanju mnenja Evropskega nadzornika za varstvo podatkov z dne 7. marca 2012(2) ,

–  ob upoštevanju mnenja Agencije Evropske unije za temeljne pravice z dne 1. oktobra 2012,

–  ob upoštevanju člena 55 Poslovnika,

–  ob upoštevanju poročila Odbora za državljanske svoboščine, pravosodje in notranje zadeve ter mnenj Odbora za zaposlovanje in socialne zadeve, Odbora za industrijo, raziskave in energetiko, Odbora za notranji trg in varstvo potrošnikov in Odbora za pravne zadeve (A7-0402/2013),

1.  sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;

2.  poziva Komisijo, naj zadevo ponovno predloži Parlamentu, če namerava svoj predlog bistveno spremeniti ali ga nadomestiti z drugim besedilom;

3.  naroči svojemu predsedniku, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.

(1) UL C 229, 31.7.2012, str.90.
(2) UL C 192, 30.6.2012, str. 7.


Stališče Evropskega parlamenta, sprejeto v prvi obravnavi dne 12. marca 2014 z namenom sprejetja Uredbe (EU) št. …/2014 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)
(Besedilo velja za EGP)
P7_TC1-COD(2012)0011

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti členov 16(2) in 114(1) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora(1) ,

po posvetovanju z Odborom regij,

po posvetovanju z Evropskim nadzornikom za varstvo podatkov(2) ,

v skladu z rednim zakonodajnim postopkom(3) ,

ob upoštevanju naslednjega:

(1)  Varstvo fizičnih oseb pri obdelavi osebnih podatkov je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in člen 16(1) Pogodbe določata, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)  Obdelava osebnih podatkov je namenjena temu, da služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morajo ne glede na državljanstvo ali prebivališče fizičnih oseb spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva osebnih podatkov. Prispevati mora k oblikovanju območja svobode, varnosti in pravice ter gospodarske unije, h gospodarskemu in družbenemu napredku, krepitvi in uskladitvi gospodarstev na notranjem trgu ter blaginji posameznikov.

(3)  Direktiva 95/46/ES Evropskega parlamenta in Sveta (4) je namenjena uskladitvi varstva temeljnih pravic in svoboščin fizičnih oseb pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

(4)  Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov. Izmenjava podatkov med gospodarskimi in družbenimi, javnimi in zasebnimi akterji v Uniji se je povečala. Nacionalni organi držav članic so na podlagi prava Unije pozvani k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.

(5)  Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg izmenjave in zbiranja podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za izvajanje svojih dejavnosti v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila gospodarstvo in družbeno življenje ter zahteva nadaljnje lajšanje prostega pretoka podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

(6)  Zato je treba oblikovati trden in skladnejši okvir za varstvo podatkov v Uniji, podprt z doslednim izvajanjem; bistvenega pomena je, da se oblikuje zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na notranjem trgu. Posamezniki morajo imeti nadzor nad lastnimi osebnimi podatki, pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov pa morata biti okrepljeni.

(7)  Cilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti na področju izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti in razširjenega javnega mnenja, da so precejšnje nevarnosti za varstvo posameznikov povezane zlasti s spletno dejavnostjo. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov pri obdelavi osebnih podatkov v državah članicah, lahko preprečijo prosti pretok osebnih podatkov v Uniji. Te razlike lahko predstavljajo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti na podlagi prava Unije. Te različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.

(8)  Za zagotovitev dosledne in visoke ravni varstva posameznikov in odstranitev ovir za prenos osebnih podatkov bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin fizičnih oseb pri obdelavi osebnih podatkov.

(9)  Za učinkovito varstvo osebnih podatkov v Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo postopke obdelave, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enake sankcije za kršitelje v državah članicah.

(10)  Člen 16(2) Pogodbe Evropski parlament in Svet pooblašča, da določita pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

(11)  Za zagotovitev skladne ravni varstva posameznikov v vsej Uniji in preprečitev, da bi razlike ovirale prosti pretok podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, vključno z mikro-, malimi in srednje velikimi podjetji, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic, določila enake obveznosti in odgovornosti upravljavcev in obdelovalcev ter zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za upoštevanje posebnega položaja mikro-, malih in srednje velikih podjetij ta uredba vsebuje številna odstopanja. Poleg tega se institucije in organi Unije, države članice in njihovi nadzorni organi spodbujajo, da posebne potrebe mikro-, malih in srednje velikih podjetij upoštevajo pri uporabi te uredbe. Pojem mikro-, malih in srednje velikih podjetij bi moral temeljiti na Priporočilu Komisije 2003/361/ES(5) .

(12)  Varstva, zagotovljenega s to uredbo, bi morale biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na njihovo državljanstvo ali stalno prebivališče. Pravne osebe in zlasti podjetja, ustanovljena kot pravne osebe, katerih podatki, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe, se obdelujejo, ne bi smele zahtevati varstva iz te uredbe. To bi moralo veljati tudi, kadar ime pravne osebe vsebuje ime ene ali več fizičnih oseb.

(13)  Varstvo posameznikov bi moralo biti tehnološko nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(14)  Ta uredba ne obravnava vprašanj varstva temeljnih pravic in svoboščin ali prostega pretoka podatkov, povezanih z dejavnostmi, ki ne sodijo na področje uporabe prava Unije, prav tako pa ne zajema obdelave osebnih podatkov s strani institucij, organov, uradov in agencij Unije, za katere se uporablja Uredba . Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) , ali obdelave osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije bi bilo treba uskladiti s to uredbo in jo v skladu z njo tudi izvrševati . [Sprememba 1]

(15)  Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov s strani fizične osebe, ki so izključno osebni, povezani z družino ali domači, kot sta korespondenca in seznam naslovov ali zasebna prodaja , in brez pridobitnega interesa ter s tem brez kakršne koli povezave s poklicno ali komercialno dejavnostjo. Ta izjema se prav tako ne bi smela Vendar bi se morala ta uredba uporabljati za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti. [Sprememba 2]

(16)  Za varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij in prosti pretok takih podatkov se uporablja posebni pravni akt na ravni Unije. Zato se ta uredba ne bi smela uporabljati za dejavnosti obdelave v te namene. Vendar mora obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, urejati bolj poseben pravni akt na ravni Unije (Direktiva2014/.../EU Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov).

(17)  Ta uredba ne bi smela posegati v uporabo Direktive 2000/31/ES Evropskega parlamenta in Sveta(7) , zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

(18)  Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe. Osebne podatke v dokumentih, ki jih ima javni organ ali javna ustanova, lahko ta organ ali ustanova razkrije v skladu z zakonodajo Unije ali države članice v zvezi z dostopom javnosti do uradnih dokumentov, ki usklajuje pravico do varstva osebnih podatkov s pravico dostopa javnosti do uradnih dokumentov in ustvarja pravično ravnotežje med različnimi interesi. [Sprememba 3]

(19)  Vsaka obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji ali ne. Ustanovitev pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov. Pravna oblika take ustanovitve, ki je bodisi izpostava ali podružnica, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

(20)  Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi morala biti obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo , v Uniji, s strani upravljavca, ki nima sedeža v Uniji, predmet te uredbe, kadar so postopki obdelave povezani z nudenjem blaga ali storitev, ne glede na to, ali je povezano s plačilom, takim posameznikom, na katere se nanašajo osebni podatki, ali spremljanjem vedenja takih posameznikov. Da bi ugotovili, ali tak upravljavec nudi blago ali storitve takim posameznikom, na katere se nanašajo osebni podatki, v Uniji, bi bilo treba preveriti, ali je jasno, da želi upravljavec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije. [Sprememba 4]

(21)  Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da „spremlja vedenjeposameznikov posameznike , na katere se nanašajo osebni podatki, bi bilo treba preveriti, ali se posameznikom sledi, ne glede na internetu s tehnikami vir podatkov, ali pa se zbirajo drugi podatki o njih, tudi iz javnih registrov in objav v Uniji, ki so dostopni zunaj Unije, vključno z namenom uporabe ali morebitne poznejše uporabe tehnik obdelave podatkov, ki obsegajo določanje „profila“ posameznika , zlasti z namenom sprejemanja odločitev o zadevni osebi oziroma za analiziranje ali predvidevanje osebnega okusa in vedenja zadevne osebe. [Sprememba 5]

(22)  Kadar se zakonodaja države članice uporablja na podlagi mednarodnega javnega prava, bi morala ta uredba veljati tudi za upravljavca, ki nima sedeža v Uniji, na primer v diplomatskem ali konzularnem predstavništvu države članice.

(23)  Načela varstva podatkov bi se morala uporabljati veljati za katere koli vse informacije v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je oseba določljiva, je bi bilo treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za neposredno ali posredno določitev ali razločevanje posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Da bi ugotovili, ali se za ta sredstva pričakuje, da bodo uporabljena za določitev posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški določitve in čas, potreben zanjo, pri čemer se upoštevata razpoložljiva tehnologija v času obdelave in tehnološki razvoj. Načela varstva podatkov se torej ne bi smela uporabljati za anonimne podatke, ki so anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni to so podatki, ni več določljiv ki niso povezani z določeno ali določljivo fizično osebo . Ta uredba torej ne zadeva obdelave takšnih anonimnih podatkov, vključno z informacijami v statistične in raziskovalne namene. [Sprememba 6]

(24)  Pri uporabi spletnih storitev so lahko posamezniki povezani s spletnimi identifikatorji Ta uredba bi se morala uporabljati za identifikatorje , ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola ali , identifikatorji piškotkov in oznake za radiofrekvenčno identifikacijo, razen v primeru, ko ti identifikatorji niso povezani z določeno ali določljivo fizično osebo . To lahko pusti sledi, ki se lahko skupaj z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo. Iz tega sledi, da identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev ali drugih posebnih dejavnikov ni treba vedno šteti za osebne podatke v vseh okoliščinah. [Sprememba 7]

(25)  Privolitev bi morala biti dana izrecno s katero koli ustrezno metodo, ki omogoča prostovoljno dano posebno in informirano izjavo volje posameznika, na katerega se nanašajo osebni podatki, tj. z izjavo ali jasnim pritrdilnim dejanjem, ki je rezultat odločitve takega posameznika, kar zagotavlja, da posamezniki vedo, da dajejo privolitev za obdelavo osebnih podatkov, vključno s tem, da . Jasno pritrdilno dejanje lahko vključuje označitev okenca ob obisku spletne strani na internetu označijo okence, ali katero koli drugo izjavo ali ravnanjem ravnanje , ki s tem v zvezi jasno kaže privolitev takega posameznika v predlagano obdelavo njegovih osebnih podatkov. Molk, sama raba storitve ali nedejavnost zato ne bi smela smeli pomeniti privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi elektronske zahteve, mora biti zahteva jasna in natančna, prav tako pa ne sme biti po nepotrebnem moteča za uporabo storitve, za katero se zagotavlja. [Sprememba 8]

(26)  Osebni podatki v zvezi z zdravjem bi morali obsegati zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje zdravstvenih storitev, informacije o plačilih ali upravičenosti posameznika do zdravstvenega varstva, številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo enolično identifikacijo v zdravstvene namene, vse informacije o posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku, informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z biološkimi vzorci, istovetnost osebe, ki posamezniku nudi storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali o dejanskem fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr. zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(27)  Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov, pogojev in sredstev za obdelavo določajo prek ustaljenih režimov. To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov v tem kraju dejansko izvaja; prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenijo glavnega sedeža in zato niso odločujoče merilo za matično podjetje. Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji.

(28)  Povezana družba bi morala zajemati obvladujočo družbo in njene odvisne družbe, pri čemer mora biti obvladujoča družba družba, ki lahko izvršuje prevladujoč vpliv nad drugimi družbami z, na primer, lastništvom, finančnim deležem ali pravili, ki urejajo njeno delovanje, ali pooblastilom za izvajanje predpisov o varstvu osebnih podatkov.

(29)  Otroci potrebujejo posebno varstvo njihovih osebnih podatkov, saj se morda manj zavedajo nevarnosti in posledic ter slabše poznajo zaščitne ukrepe in pravice v zvezi z obdelavo osebnih podatkov. Za določitev, kdaj je posameznik otrok, bi morala ta uredba uporabiti opredelitev iz Konvencije ZN o otrokovih pravicah. Če obdelava podatkov temelji na privolitvi posameznikov, na katere se nanašajo osebni podatki, v zvezi z blagom ali storitvami, ki se neposredno zagotavljajo otroku, bi morali privolitev ali odobritev dati otrokovi starši ali njegov zakoniti skrbnik, če je otrok mlajši od 13 let. Če so ciljna javnost otroci, je treba uporabiti letom primeren jezik. Drugi temelji za zakonito obdelavo, kot je recimo javni interes, bi morali še vedno veljati, recimo za obdelavo v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku. [Sprememba 9]

(30)  Vsaka obdelava osebnih podatkov bi morala biti zakonita, poštena in pregledna glede na zadevne posameznike. Zlasti posebni nameni, za katere se podatki obdelujejo, bi morali biti jasno določeni in zakoniti ter določeni v času zbiranja podatkov. Podatki bi morali biti primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; zato je treba zlasti zagotoviti, da zbrani podatki niso čezmerni in da je obdobje shranjevanja omejeno na najkrajše možno. Osebni podatki se lahko obdelujejo samo, če namena obdelave ni bilo mogoče doseči z drugimi sredstvi. Sprejeti bi se morali vsi smiselni ukrepi za popravek ali izbris netočnih osebnih podatkov. Za zagotovitev, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.

(31)  Da bi bila obdelava zakonita, morajo biti osebni podatki obdelani na podlagi privolitve zadevne osebe ali na kakršni koli drugi pravni podlagi, določeni z zakonom, bodisi v tej uredbi ali drugi zakonodaji Unije ali zakonodaji držav članic, kot je navedeno v tej uredbi. V primeru otroka ali osebe, ki nima pravne sposobnosti, bi moralo ustrezno pravo Unije ali države članice določiti pogoje, v katerih se šteje, da je ta oseba dala privolitev ali odobritev. [Sprememba 10]

(32)  Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v postopek obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu. Zaradi skladnosti z načelom zmanjšanja količine podatkov ne bi smeli razumeti, da dokazno breme terja potrditev identitete posameznikov, na katere se nanašajo osebni podatki, razen če je to nujno. Politike zasebnosti bi morale biti podobno kot določbe civilnega prava (npr. Direktiva 93/13/EGS (8) ) čim bolj jasne in pregledne. Ne bi smele vsebovati skritih ali neugodnih določb. Ni mogoče dati privolitve za obdelavo podatkov tretjih oseb. [Sprememba 11]

(33)  Za zagotovitev prostovoljne privolitve bi bilo treba pojasniti, da privolitev ne pomeni veljavne pravne podlage, če posameznik nima dejanske in prostovoljne izbire in zato privolitve ne more zavrniti ali preklicati brez škode. To velja zlasti v primeru, ko je upravljavec javni organ, ki lahko uvede obveznost s svojimi javnimi pooblastili in se ne more šteti, da je privolitev dana prostovoljno. Uporaba privzetih možnosti, na primer vnaprej označenih polj, ki jih mora posameznik, na katerega se nanašajo osebni podatki, spremeniti, da bi ugovarjal obdelavi, ne pomeni prostovoljne privolitve. Za uporabo storitve ne bi smela biti nujna privolitev za obdelavo dodatnih osebnih podatkov, ki za storitev niso nujni. Če se privolitev umakne, to lahko pomeni prenehanje ali neizvedbo storitve, ki je odvisna od teh podatkov. Ko izpolnitev prvotnega namena ni jasna, bi upravljavec moral posameznika, na katerega se podatki nanašajo, redno obveščati o obdelavi in zahtevati ponovno potrditev privolitve. [Sprememba 12]

(34)  Privolitev ne bi smela pomeniti veljavne pravne podlage za obdelavo osebnih podatkov, če obstaja očitno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem. To velja zlasti, kadar je posameznik, na katerega se nanašajo osebni podatki, odvisen od upravljavca, med drugim, kadar osebne podatke zaposlenega v okviru zaposlitve obdeluje delodajalec. Kadar je upravljavec javni organ, bi neravnovesje obstajalo samo v primeru posebnih postopkov obdelave podatkov, ko lahko javni organ s svojimi zadevnimi javnimi pooblastili uvede obveznost in se ob upoštevanju interesa posameznika, na katerega se nanašajo osebni podatki, za privolitev ne more šteti, da je dana prostovoljno. [Sprememba 13]

(35)  Obdelava bi morala biti zakonita, kadar je to potrebno na podlagi pogodbe ali predvidene sklenitve pogodbe.

(36)  Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, mora biti pravna podlaga za obdelavo zakonodaja Unije ali zakonodaja držav članic, ki izpolnjuje zahteve Listine Evropske unije o temeljnih pravicah glede omejevanja pravic in svoboščin. To bi moralo zajemati tudi kolektivne pogodbe, ki bi lahko v skladu z nacionalnim pravom imele splošno veljavnost. Prav tako je naloga zakonodaje Unije ali zakonodaje držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa fizična ali pravna oseba, ki jo ureja zasebno pravo, kot na primer poklicno združenje. [Sprememba 14]

(37)  Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki.

(38)  Pravni interesi interes upravljavca ali, v primeru razkritja, tretje stranke, kateri se podatki razkrijejo, lahko pomenijo pomeni pravno podlago za obdelavo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca, in če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Glede tega bi bila skrbna ocena potrebna zlasti, če je tak posameznik otrok, saj otroci potrebujejo posebno varstvo. Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se šteje, da na psevdonimne podatke omejena obdelava ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da brezplačno ugovarja obdelavi na podlagi razlogov, povezanih z njegovim posebnim položajem . Za zagotovitev preglednosti bi moral biti upravljavec zavezan, da posameznika, na katerega se nanašajo osebni podatki, izrecno obvesti o pravnih interesih, za katere si prizadeva, in o pravici do ugovora, prav tako pa bi moral te pravne interese dokumentirati. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, če se osebni podatki obdelujejo v primeru, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog. [Sprememba 15]

(39)  Obdelava podatkov v obsegu, sorazmernem in nujno potrebnem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne preko teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev, pomeni pravni interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih. To načelo velja tudi za obdelavo osebnih podatkov za omejevanje zlonamernega dostopa do javno dostopnega omrežja ali informacijskih sistemov ter njihove uporabe, na primer uvrščanje na črni seznam elektronskih identifikatorjev. [Sprememba 16]

(39a)  Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se domneva, da upravljavec podatkov na svoji strani preprečuje ali omejuje škodo v svojem interesu ali, v primeru razkritja, v interesu tretje stranke, kateri se podatki razkrijejo, in da to ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Enako načelo velja tudi za uveljavljanje pravnih zahtevkov zoper posameznika, na katerega se nanašajo osebni podatki, kot so izterjava dolga ali civilnopravni odškodninski zahtevki ali civilnopravna sredstva. [Sprememba 17]

(39b)  Če interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne prevladajo, se šteje, da se obdelava osebnih podatkov zaradi neposrednega trženja lastnih in podobnih proizvodov in storitev ali zaradi poštnega neposrednega trženja opravlja zaradi legitimnega interesa upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, ter da ustrezajo razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca, če so dane informacije o pravici do ugovora in o viru osebnih podatkov. Za obdelavo poslovnih kontaktnih podatkov bi bilo treba v splošnem šteti, da se opravlja v legitimnem interesu upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, in da ustreza razumnim pričakovanjem osebe, na katero se podatki nanašajo, ob upoštevanju njenega razmerja do upravljavca. Enako bi moralo veljati za obdelavo osebnih podatkov, ki jih očitno objavi posameznik, na katerega se nanašajo osebni podatki. [Sprememba 18]

(40)  Obdelava osebnih podatkov v druge namene bi morala biti dovoljena le, če je skladna s tistimi nameni, za katere so bili podatki prvotno zbrani, zlasti kadar je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Če ta drugi namen ni skladen s prvotnim namenom, za katerega so podatki zbrani, bi moral upravljavec za ta drugi namen pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki, ali pa bi moral obdelavo utemeljiti na drugi zakoniti podlagi za zakonito obdelavo, zlasti kadar to določa zakonodaja Unije ali zakonodaja držav članic, ki velja za upravljavca. V vsakem primeru bi morala biti zagotovljena uporaba načel iz te uredbe in zlasti obveščanje posameznika, na katerega se nanašajo osebni podatki, o teh drugih namenih. [Sprememba 19]

(41)  Osebne podatke, ki so po svoji naravi še zlasti občutljivi in ranljivi glede temeljnih pravic ali zasebnosti, je treba še posebej varovati. Taki podatki se brez izrecne privolitve posameznika, na katerega se nanašajo osebni podatki, ne smejo obdelovati. Vendar morajo biti odstopanja od te prepovedi izrecno predvidena glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočati uveljavljanje temeljnih svoboščin. [Sprememba 20]

(42)  Odstopanje od prepovedi obdelave občutljivih vrst podatkov bi moralo biti dovoljeno tudi, če to določa zakon, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to upravičuje javni interes in zlasti v zdravstvene namene, vključno z javnim zdravjem in socialnim varstvom ter upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ali v zgodovinske, statistične in znanstvenoraziskovalne namene ali za službe za arhiviranje . [Sprememba 21]

(43)  Poleg tega se obdelava osebnih podatkov uradno priznanih verskih skupnosti s strani državnih organov za doseganje ciljev, ki so določeni v ustavnem pravu ali mednarodnem javnem pravu, izvaja zaradi javnega interesa.

(44)  Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo podatke o političnem prepričanju ljudi, se lahko obdelava takih podatkov dovoli zaradi javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.

(45)  Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec podatkov ne bi smel biti zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. V primeru zahteve po dostopu bi moral upravljavec imeti pravico, da od posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne informacije, ki bodo upravljavcu podatkov omogočile, da najde osebne podatke, ki jih ta oseba išče. Če posameznik, na katerega se nanašajo osebni podatki, lahko zagotovi take podatke, se upravljavci ne bi smeli sklicevati na pomanjkanje podatkov kot razlog za zavrnitev zahteve za dostop. [Sprememba 22]

(46)  Načelo preglednosti zahteva, da so vse informacije, ki se nanašajo na javnost ali posameznika, na katerega se nanašajo osebni podatki, lahko dostopne in razumljive ter izražene v jasnem in preprostem jeziku. To je še zlasti pomembno, kadar v primerih, kot je spletno oglaševanje, posameznik, na katerega se nanašajo osebni podatki, zaradi velikega števila akterjev in tehnološke zapletenosti težko ve in razume, ali se zbirajo osebni podatki, kdo jih zbira in v kakšen namen. Glede na to, da otroci potrebujejo posebno varstvo, bi morale biti vse informacije in vsa komunikacija, pri katerih se obdelava nanaša posebej na otroka, v tako jasnem in preprostem jeziku, da ga lahko otrok zlahka razume.

(47)  Zagotoviti bi bilo treba načine za olajšanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, ki jih zagotavlja ta uredba, vključno z mehanizmi, s katerimi se brezplačno zahtevajo pridobijo zlasti dostop do podatkov, popravek, izbris in uveljavljanje pravice do ugovora. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori v določenem razumnem roku in da v primeru neizpolnitve zahteve posameznika navede razloge za to. [Sprememba 23]

(48)  Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o domnevnem času trajanja shranjevanja podatkov, če bodo podatki posredovani tretjim stranem ali tretjim državam, o obstoju meril za ugovarjanje in pravice do dostopa, popravka ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži. Te informacije je treba posvetovati posamezniku, na katerega se nanašajo osebni podatki, kar lahko pomeni tudi, da so mu dane na voljo, in sicer zatem, ko so mu posredovane poenostavljene informacij v obliki standardiziranih ikon. To bi moralo pomeniti tudi, da so osebni podatki obdelani na način, ki posamezniku, na katerega se nanašajo osebni podatki, dejansko omogočijo izvrševanje njegovih pravic. [Sprememba 24]

(49)  Posameznikom, na katere se nanašajo osebni podatki, bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje nanašajo, posredovati ob zbiranju podatkov ali, kadar se podatki ne pridobijo od posameznika, v primernem roku in odvisno od okoliščin primera. Kadar se lahko podatki zakonito posredujejo drugemu prejemniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se podatki prvič posredujejo prejemniku.

(50)  Vendar pa izvajanje te obveznosti ni nujno, če ima je posameznik, na katerega se nanašajo osebni podatki, te informacije že na voljo s temi informacijami že seznanjen ali če je beleženje ali posredovanje izrecno določeno z zakonom ali če bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. Do slednjega bi lahko prišlo zlasti, kadar se obdelava izvaja v zgodovinske, statistične ali znanstvenoraziskovalne namene; v zvezi s tem se lahko upošteva število posameznikov, na katere se nanašajo osebni podatki, starost podatkov in vsi sprejeti nadomestni ukrepi. [Sprememba 25]

(51)  Vsaka oseba bi morala imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave podatkov, predvidenem obdobju obdelave, prejemnikih podatkov, splošni logiki podatkov, ki se obdelujejo, in možnih posledicah obdelave, vsaj v primerih, kadar podatki temeljijo na oblikovanju profilov . Ta pravica ne bi smela škodljivo vplivati na pravice in svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, in predvsem na avtorske pravice na primer v zvezi z avtorskimi pravicami , ki ščitijo programsko opremo. Vendar pa to ne sme povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrnejo vse informacije. [Sprememba 26]

(52)  Upravljavec bi moral uporabiti vse primerne ukrepe za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop, zlasti v okviru spletnih storitev in spletnih identifikatorjev. Upravljavec ne bi smel hraniti osebnih podatkov samo zato, da se lahko odzove na morebitno zahtevo.

(53)  Vsaka oseba bi morala imeti pravico do popravka osebnih podatkov v zvezi z njo in „pravico biti pozabljen do izbrisa “, kadar hramba takih podatkov ni v skladu s to uredbo. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do tega, da se njihovi osebni podatki izbrišejo in se več ne obdelujejo, kadar podatki niso več potrebni zaradi namenov, za katere so zbrani ali kako drugače obdelani, kadar so posamezniki preklicali svojo privolitev v obdelavo ali kadar nasprotujejo obdelavi osebnih podatkov, ki se nanje nanašajo, ali kadar obdelava njihovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok, ko se ni v celoti zavedal nevarnosti, povezanih z obdelavo, in želi pozneje take osebne podatke odstraniti, zlasti z interneta. Vendar pa bi morala biti nadaljnja hramba podatkov dovoljena, če je to potrebno v zgodovinske, statistične in znanstvenoraziskovalne namene, zaradi javnega interesa na področju javnega zdravja, za uveljavljanje pravice do svobode izražanja, kadar to zahteva zakon ali če obstaja razlog za omejitev obdelave podatkov namesto njihovega izbrisa. Poleg tega se pravica do izbrisa ne bi smela uporabljati, če je hramba osebnih podatkov potrebna za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki, ali če obstaja pravna obveznost hrambe teh podatkov. [Sprememba 27]

(54)  Za okrepitev „pravice biti pozabljen do izbrisa “ v spletnem okolju bi morala biti pravica do izbrisa razširjena tako, da mora upravljavec, ki je osebne podatke objavil, tretje osebe, ki take podatke obdelujejo, obvestiti, da posameznik brez pravne utemeljitve, storiti vse potrebno za izbris podatkov, tudi, če to morajo storiti tretje strani, pri čemer to ne posega v pravico posameznika , na katerega se nanašajo osebni podatki, zahteva izbris morebitnih povezav do teh osebnih podatkov ali kopij osebnih podatkov do odškodnine . Da bi upravljavec zagotovil te informacije, mora glede podatkov, za objavo katerih je odgovoren, sprejeti vse primerne ukrepe, vključno s tehničnimi. Glede objave osebnih podatkov s strani tretje osebe se upravljavec šteje za odgovornega, če je odobril objavo s strani tretje osebe. [Sprememba 28]

(54a)  Podatki, katerim posameznik, na katerega se osebni podatki nanašajo, oporeka, njihove točnosti ali netočnosti pa ni mogoče ugotoviti, bi se morali do rešitve tega vprašanja blokirati. [Sprememba 29]

(55)  Za okrepitev nadzora nad lastnimi podatki in pravice do dostopa bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico, da v primerih, kadar so osebni podatki obdelani z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pridobijo kopijo podatkov, ki se nanje nanašajo, tudi v elektronski obliki v splošni rabi. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti dovoljeno tudi prenašanje podatkov, ki jih je predložil, iz ene avtomatizirane aplikacije, na primer družabnega omrežja, v drugo. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. To bi moralo veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, na podlagi svoje privolitve ali pri izvajanju pogodbe zagotovil podatke avtomatiziranemu sistemu za obdelavo. Ponudniki storitev informacijske družbe za zagotavljanje svojih storitev ne bi smeli zahtevati prenosa teh podatkov. [Sprememba 30]

(56)  V primerih, v katerih se lahko osebni podatki zakonito obdelujejo zaradi zaščite življenjskih interesov posameznika ali zaradi javnega interesa, izvajanja javne oblasti ali zaradi pravnih interesov upravljavca, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do ugovora glede obdelave vseh podatkov, ki so z njim povezani, in sicer brezplačno ter na enostaven in učinkovit način . Upravljavec bi moral dokazati, da njegovi pravni interesi prevladujejo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki. [Sprememba 31]

(57)  Kadar se osebni podatki obdelujejo zaradi neposrednega trženja, bi moral imeti ima posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi ugovarja brezplačno in na način, ki ga je mogoče enostavno in učinkovito uveljavljati , bi moral upravljavec podatkov posamezniku to pravico izrecno ponuditi na razumljiv način in v razumljivi obliki, ob uporabi enostavnega in jasnega jezika, in bi moral to informacijo jasno ločiti od ostalih . [Sprememba 32]

(58)  Vsaka Ne glede na zakonitost obdelave podatkov bi morala vsaka fizična oseba bi morala imeti pravico, da ni predmet ukrepa, ki temelji na oblikovanju profilov s samodejno obdelavo ugovarja oblikovanju profilov . Vendar bi moral biti tak ukrep dovoljen Oblikovanje profilov, ki vodi do ukrepov, ki imajo pravne učinke za osebo, na katero se nanašajo osebni podatki, ali podobno vplivajo na interese, pravice ali svoboščine zadevne osebe, bi moralo biti dovoljeno le , kadar ga to izrecno dovoljuje zakon, kadar je sprejet med sklepanjem ali izvrševanjem pogodbe ali kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev. V vsakem primeru bi morali za take postopke veljati ustrezni zaščitni ukrepi, vključno s posebnim obveščanjem posameznika, na katerega se nanašajo osebni podatki, in pravico do človeškega posredovanja človeške ocene , veljati pa bi moralo tudi, da se tak ukrep ne sme nanašati na otroka. Taki ukrepi ne bi smeli voditi do diskriminacije do oseb na podlagi rase ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spolne usmerjenosti ali spolne identitete. [Sprememba 33]

(58a)  Za oblikovanje profilov, ki temelji le na obdelavi psevdonimnih podatkov, bi se moralo šteti, da ne vpliva znatno na interese, pravice ali svoboščine oseb, na katere se nanašajo osebni podatki. V primeru, ko oblikovanje profilov, ki bodisi temelji na enem viru psevdonimnih podatkov ali na združevanju psevdonimnih podatkov iz različnih virov, upravljavcu omogoči, da psevdonimne podatke dodeli posamezniku, na katerega se nanašajo osebni podatki, se ta postopek ne more več šteti za anonimnega. [Sprememba 34]

(59)  Omejitve posebnih načel in pravic do obveščenosti, dostopa, popravka in izbrisa ali pravice do prenosljivosti pridobivanja podatkov ali dostopa do njih , pravice do ugovora, ukrepov, ki temeljijo na oblikovanju oblikovanja profilov, sporočanja o kršitvi varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo z zakonodajo Unije ali zakonodajo držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali kršitev etike za zakonsko urejene poklice, specifičnih in jasno opredeljenih drugih javnih interesov Unije ali države članice, vključno s pomembnim gospodarskim ali finančnim interesom, ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih. Te omejitve morajo biti skladne z zahtevami iz Listine Evropske unije o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. [Sprememba 35]

(60)  Uvesti bi bilo treba celovito pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu, zlasti v zvezi z dokumentacijo, varnostjo podatkov, oceno učinka, uradno osebo za varstvo podatkov in nadzorom organov za varstvo podatkov . Upravljavec bi moral zlasti zagotoviti in biti k temu zavezan, da dokaže zmožen dokazati skladnost vsakega postopka obdelave s to uredbo. To zmožnost preverijo neodvisni notranji ali zunanji revizorji. [Sprememba 36]

(61)  Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pri obdelavi osebnih podatkov zahteva, da se sprejmejo ustrezni tehnični in organizacijski ukrepi, tako med načrtovanjem obdelave kot med samo obdelavo, in tako zagotovi, da so zahteve iz te uredbe izpolnjene. Za zagotovitev in dokaz skladnosti s to uredbo bi moral upravljavec sprejeti notranje politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načeli vgrajenega in privzetega varstva podatkov. V skladu z načelom vgrajenega varstva podatkov mora biti varstvo podatkov vgrajeno v celotnem življenjskem ciklu tehnologije, od začetne faze načrtovanja do uvedbe, uporabe in končno zavrženja. To bi moralo vključevati tudi odgovornost za proizvode in storitve, ki jih uporabljata upravljavec ali obdelovalec. V skladu z načelom privzetega varstva podatkov morajo biti privzete nastavitve storitev in proizvodov skladne s splošnimi načeli varstva podatkov, kot sta načeli zmanjšanja količine podatkov na najmanjšo možno mero in omejitve namena. [Sprememba 37]

(62)  Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavca in obdelovalca, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene, pogoje in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je postopek obdelave izveden v imenu upravljavca. Ta razmerja med skupnimi upravljavci bi morala odražati njihove dejanske vloge in odnose. Obdelava osebnih podatkov po tej uredbi bi morala vključevati dovoljenje, da upravljavec podatke posreduje skupnemu upravljavcu ali obdelovalcu za obdelavo podatkov v njegovem imenu. [Sprememba 38]

(63)  Kadar upravljavec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo , v Uniji, ter se dejavnosti obdelave upravljavca nanašajo na nudenje blaga ali storitev takim posameznikom ali na spremljanje njihovega vedenja, bi moral upravljavec imenovati predstavnika, razen, če je sedež upravljavca v tretji državi, ki zagotavlja ustrezno raven varstva, oziroma se obdelava nanaša na manj kakor 5000 posameznikov, na katere se nanašajo osebni podatki, v katerem koli neprekinjenem 12-mesečnem obdobju in se ne opravlja za posebne vrste osebnih podatkov ali je upravljavec malo ali srednje veliko podjetje ali javni organ, ali pa upravljavec takim posameznikom blago ali storitve nudi samo občasno. Predstavnik bi moral delovati v imenu upravljavca in nanj se lahko obrne kateri koli nadzorni organ. [Sprememba 39]

(64)  Za ugotovitev, ali upravljavec posameznikom, na katere se nanašajo osebni podatki, blago in storitve nudi samo občasno, bi bilo treba preveriti, ali je iz splošnih dejavnosti upravljavca razvidno, da je nudenje blaga in storitev takim posameznikom samo njegova postranska dejavnost. [Sprememba 40 ne zadeva SL]

(65)  Da dokaz bi lahko dokazal skladnosti s to uredbo, bi moral upravljavec ali obdelovalec dokumentirati vsak postopek obdelave hraniti dokumentacijo, potrebno za izpolnitev zahtev iz te uredbe . Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave oceni skladnosti s to uredbo . Toda bi bilo treba enak poudarek in pomen dati dobri praksi in izpolnjevanju zahtev in ne le vodenju dokumentacije. [Sprememba 41]

(66)  Za ohranitev varnosti in preprečitev obdelave s kršitvijo te uredbe bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi morala Komisija bilo treba spodbujati tehnološko nevtralnost, interoperabilnost in inovativnost ter po potrebi sodelovati spodbujati sodelovanje s tretjimi državami. [Sprememba 42]

(67)  Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z zlorabo identitete. Zato bi moral upravljavec, ko ugotovi brez nepotrebnega odlašanja, pri čemer se šteje , da je prišlo do take kršitve to ni pozneje kot v 72 urah , o tej kršitvi nemudoma, po možnosti v 24 urah, obvestiti nadzorni organ. Če tega ni mogoče storiti v 24 urah, Po potrebi je treba obvestilu priložiti pojasnilo razlogov za zamudo. Posameznike, pri katerih bi take kršitve lahko škodljivo vplivale na njihove osebne podatke, bi bilo treba o tem nemudoma obvestiti brez nepotrebnega odlašanja , da bi lahko sprejeli potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, na katerega se nanašajo osebni podatki, kadar lahko vodi na primer do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo bi moralo vsebovati opis narave kršitve varnosti osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi (npr. organi kazenskega pregona). Da bi lahko posamezniki, na katere se nanašajo osebni podatki, ublažili neposredno nevarnost nastanka škode, je treba take posameznike obvestiti nemudoma, potreba po izvajanju ustreznih ukrepov za preprečevanje nadaljnjih ali podobnih kršitev varnosti osebnih podatkov pa bi lahko upravičila daljšo zamudo. [Sprememba 43]

(68)  Za ugotovitev, ali sta nadzorni organ in posameznik, na katerega se nanašajo osebni podatki, obveščena nemudoma, bi bilo treba preveriti, ali je upravljavec izvedel in uporabil ustrezne ukrepe tehnološke zaščite in organizacijske ukrepe, s katerimi bi takoj ugotovil, ali je prišlo do kršitve varnosti osebnih podatkov, ter o tem nemudoma obvestil nadzorni organ in posameznika, na katerega se nanašajo osebni podatki, preden bi to škodovalo osebnim in gospodarskim interesom, ob upoštevanju zlasti narave in teže kršitve varnosti osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki.

(69)  Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati pravni interes organov kazenskega pregona, če bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve.

(70)  Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov. Ta obveznost je prinesla upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. Zato bi bilo treba tako nerazlikovalno splošno obveznost obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste postopke obdelave, ki bodo zaradi svoje narave, obsega ali namenov verjetno predstavljali posebno nevarnost za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. V takih primerih bi moral upravljavec ali obdelovalec pred obdelavo izvesti oceno učinka o varstvu podatkov, ki bi morala obsegati zlasti načrtovane ukrepe, zaščitne ukrepe in mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo.

(71)  To bi moralo veljati zlasti za novoustanovljene obsežne zbirke, ki so namenjene obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in ki bi lahko vplivale na številne posameznike, na katere se nanašajo osebni podatki.

(71a)  Ocene učinka so temeljno jedro vsakega okvira za trajnostno varstvo podatkov, saj zagotavljajo, da se podjetja že v začetku zavedajo vseh morebitnih posledic svojih postopkov obdelave podatkov. Če so ocene učinka temeljite, se lahko bistveno zmanjša verjetnost kakršnih koli kršitev varnosti osebnih podatkov ali postopkov, ki posegajo v zasebnost. Zato bi morale ocene učinka na varstvo podatkov upoštevati celotni življenjski cikel upravljanja osebnih podatkov, od zbiranja do obdelave in izbrisa, ter bi morale natančno opisovati predvidene postopke obdelave, tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, predvidene za obvladovanje tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje skladnosti s to uredbo. [Sprememba 44]

(71b)  Upravljavci bi se morali osredotočati na varstvo osebnih podatkov skozi njihov celotni življenjski cikel, od zbiranja do obdelave in izbrisa, tako da bi že od začetka vlagali v okvir za trajnostno upravljanje podatkov, na podlagi katerega bi razvili celovit mehanizem skladnosti. [Sprememba 45]

(72)  V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka o varstvu podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno aplikacijo ali okolje za obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

(73)  Ocene učinka o varstvu podatkov mora izvajati javni organ, če taka ocena še ni bila izvedena v okviru sprejetja nacionalne zakonodaje, na kateri temelji opravljanje nalog javnega organa in ki ureja zadevne posebne postopke obdelave ali nize postopkov. [Sprememba 46]

(74)  Kadar ocena učinka o varstvu podatkov pokaže, da je s postopki obdelave povezana visoka raven posebnih tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, na primer izključevanje posameznikov iz pravice, ali na podlagi uporabe posebnih novih tehnologij, bi moralo biti pred začetkom postopka opravljeno posvetovanje z nadzornim organom ali uradno osebo za varstvo podatkov o tvegani obdelavi, ki morda ni v skladu s to uredbo, s strani nadzornega organa ali uradne osebe za varstvo podatkov pa podani predlogi za ureditev takega položaja. Tako posvetovanje Posvetovanje z nadzornim organom bi moralo prav tako potekati med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe. [Sprememba 47]

(74a)  Ocene učinka so lahko koristne le, če upravljavci zagotovijo, da so usklajene z obljubami, ki so bile v teh ocenah prvotno zastavljene. Zato bi morali upravljavci podatkov izvajati redne preglede skladnosti z varstvom podatkov za dokazovanje skladnosti vzpostavljenih mehanizmov za obdelavo podatkov z zagotovili iz ocene učinka na varstvo podatkov. Ocena učinka bi morala tudi dokazati sposobnost upravljavca podatkov, da upošteva samostojne odločitve posameznikov, na katere se nanašajo osebni podatki. Če se pri pregledu ugotovijo neskladnosti, jih mora ocena učinka poudariti in predložiti priporočila o tem, kako doseči popolno usklajenost. [Sprememba 48]

(75)  Kadar se obdelava izvaja v javnem sektorju ali kadar v zasebnem sektorju obdelavo izvaja velika družba obdelava zadeva več kot 5000 posameznikov, na katere se nanašajo osebni podatki, v 12-mesečnem obdobju ali kadar njene temeljne dejavnosti, ne glede na velikost družbe, obsegajo postopke obdelave občutljivih podatkov ali postopke obdelave , ki jih je treba redno in sistematično spremljati, bi moral upravljavcu ali obdelovalcu nekdo pomagati pri spremljanju notranje skladnosti s to uredbo. Pri ugotavljanju, ali se obdelujejo podatki o velikem številu posameznikov, na katere se nanašajo osebni podatki, se ne bi smeli upoštevati arhivirani podatki, ki so omejeni tako, da upravljavec do njih ne more normalno dostopati in jih obdelovati, ter tako, da jih ni več mogoče spremeniti. Taka uradna oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno in bi morala uživati posebno zaščito pred odpovedjo , ne glede na to, ali je pri upravljavcu zaposlena ali ne in ali to nalogo izvaja za poln delovni čas . Končno odgovornost bi morala ohraniti uprava organizacije. Z uradno osebo za varstvo podatkov bi se bilo treba posvetovati zlasti pred zasnovo, nabavo, razvojem in vzpostavitvijo sistemov za samodejno obdelavo osebnih podatkov, da bi se zagotovili načeli vgrajene in privzete zasebnosti. [Sprememba 49]

(75a)  Uradna oseba za varstvo podatkov bi morala imeti vsaj naslednje kvalifikacije: dobro poznavanje vsebine in uporabe zakonodaje o varstvu podatkov, vključno s tehničnimi in organizacijskimi ukrepi in postopki; obvladovanje tehničnih zahtev za vgrajeno in privzeto zasebnost ter varnost podatkov; znanje, specifično za sektor, glede na velikost upravljavca ali obdelovalca ter občutljivost podatkov, ki jih je treba obdelati; sposobnost izvajanja inšpekcijskih pregledov, posvetovanj, dokumentiranja in analiziranja dnevniških datotek; in sposobnost sodelovanja s predstavništvom zaposlenih. Upravljavec bi moral uradni osebi za varstvo podatkov omogočiti udeležbo na dodatnem izpopolnjevanju, da bi ohranila posebno znanje, ki ga potrebuje za opravljanje svojih dolžnosti. Imenovanje za uradno osebo za varstvo podatkov ne pomeni nujno zaposlitve s polnim delavnim časom. [Sprememba 50]

(76)  Združenja ali druge organe, ki predstavljajo vrste upravljavcev, bi bilo treba po posvetovanju s predstavniki delavcev spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, pripravijo pravila ravnanja za pospeševanje učinkovite uporabe te uredbe. S takšnimi pravili ravnanja bi moralo biti za panogo lažje dosegati skladnost s to uredbo. [Sprememba 51]

(77)  Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in standardiziranih označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro, zanesljivo in preverljivo ocenijo raven varstva podatkov zadevnih proizvodov in storitev. Evropski pečat za varstvo podatkov bi se moral vzpostaviti na evropski ravni za vzpostavitev zaupanja med posamezniki, na katere se nanašajo osebni podatki, zagotoviti pravno varnost za upravljavce, hkrati pa razširiti evropske standarde na področju varstva podatkov prek meja z omogočanjem lažjega vstopa na evropske trge neevropskim podjetjem, ki pridobijo potrdilo. [Sprememba 52]

(78)  Čezmejni prenosi osebnih podatkov so potrebni za razvoj mednarodne trgovine in mednarodnega sodelovanja. Povečanje teh prenosov je prineslo nove izzive in zaskrbljenost glede varstva osebnih podatkov. Vendar pa v primeru, ko se osebni podatki prenašajo iz Unije v tretje države ali mednarodne organizacije, raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne bi smela biti ogrožena. V vsakem primeru se lahko prenosi v tretje države izvajajo samo v popolni skladnosti s to uredbo.

(79)  Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki, in zagotavljajo ustrezno raven zaščite temeljnih pravic državljanov . [Sprememba 53]

(80)  Komisija lahko sprejme sklep, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer tak sklep Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države dodatno pooblastilo ni potrebno. Komisija lahko, potem ko tretjo državo obvesti in ji zadevo v celoti obrazloži, takšno odločitev tudi razveljavi. [Sprememba 54]

(81)  Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države upoštevati, v kolikšni meri tretja država spoštuje načelo pravne države, dostop do pravnega varstva ter mednarodna pravila in standarde človekovih pravic.

(82)  Komisija lahko tudi ugotovi, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi ustrezne ravni varstva podatkov. Če zakonodajni akt omogoča zunajozemeljski dostop do osebnih podatkov, obdelanih v Uniji, brez odobritve po pravu Unije ali države članice, se šteje, da obstajajo pokazatelji, da zakonodaja ni ustrezna. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. [Sprememba 55]

(83)  Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, ki bodo pomanjkanje varstva podatkov v tretji državi nadomestili z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ, ali drugih ustreznih in sorazmernih ukrepov, ki so ob upoštevanju vseh okoliščin postopka za prenos podatkov ali niza postopkov za prenos podatkov upravičeni in jih odobri nadzorni organ . Taki ustrezni zaščitni ukrepi bi morali podpirati spoštovanje pravic posameznikov, na katere se nanašajo osebni podatki, ki ustreza obdelavi znotraj EU, zlasti v zvezi z omejitvijo namena ter pravico do dostopa, popravka, izbrisa ter pravico zahtevati odškodnino. Ti zaščitni ukrepi bi morali zlasti zagotoviti spoštovanje načel obdelave osebnih podatkov, zaščititi pravice posameznikov, na katere se nanašajo osebni podatki, nuditi učinkovite pravne instrumente, zagotoviti spoštovanje načel vgrajenega in privzetega varstva podatkov ter zagotoviti obstoj uradne osebe za varstvo podatkov. [Sprememba 56]

(84)  Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcu ali obdelovalcu ne bi smela preprečiti, da standardne določbe o varstvu podatkov vključi v obsežnejšo pogodbo ali doda druge določbe ali dodatne zaščitne ukrepe , če le-te neposredno ali posredno ne nasprotujejo standardnim določilom Komisije ali nadzornega organa o varstvu podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Standardna določila o varstvu podatkov, ki jih sprejme Komisija, bi lahko zajela različne situacije, in sicer prenose od upravljavcev iz Unije na upravljavce, ki imajo sedež zunaj Unije, in od upravljavcev, ki imajo sedež v Uniji, do obdelovalcev, vključno s podobdelovalci, ki imajo sedež zunaj Unije. Upravljavci in obdelovalci bi se morali spodbujati, da vzpostavijo še strožje zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardne zaščitna določila. [Sprememba 57]

(85)  Skupina podjetij bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste skupine podjetij uporabi odobrena zavezujoča poslovna pravila, če ta poslovna pravila obsegajo vsa bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenos ali niz prenosov osebnih podatkov. [Sprememba 58]

(86)  Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev, kadar je prenos potreben zaradi pogodbe ali pravnega zahtevka, kadar to zahtevajo pomembni javni interesi, določeni z zakonodajo Unije ali zakonodajo držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonodajo, ki je namenjen za uporabo s strani javnosti ali oseb s pravnim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo pravni interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki . [Sprememba 59]

(87)  Ta odstopanja bi morala veljati zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva , ali državnimi organi, pristojnimi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj, vključno za preprečevanje pranja denarja in boj proti financiranju terorizma . Prenos osebnih podatkov bi bilo prav tako treba šteti za zakonitega, kadar je treba zaščititi interes, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, če zadevni posameznik ni sposoben dati privolitve. Prenosi osebnih podatkov zaradi takšnega pomembnega javnega interesa bi se morali odvijati zgolj občasno. V vsakem posameznem primeru bi bilo treba temeljito oceniti vse okoliščine prenosa. [Sprememba 60]

(88)  Prenosi, ki jih ni mogoče šteti za pogoste ali množične, bi lahko bili po oceni vseh okoliščin, povezanih s prenosom podatkov, mogoči tudi zaradi pravnih interesov upravljavca ali obdelovalca. Pri obdelavi v zgodovinske, statistične in znanstvenoraziskovalne namene bi bilo treba upoštevati legitimna pričakovanja družbe po večjem znanju. [Sprememba 61]

(89)  V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo dajejo pravno zavezujoče zagotovilo , da zanje po prenosu teh podatkov še vedno veljajo temeljne pravice in zaščitni ukrepi glede obdelave njihovih podatkov v Uniji, kolikor obdelava ni množična, ponavljajoča se ali strukturna . To jamstvo bi moralo vključevati finančno nadomestilo v primeru izgube ali nepooblaščenega dostopa ali obdelave podatkov in ne glede na nacionalno zakonodajo tudi obveznost zagotavljanja vseh podrobnosti o vseh dostopih javnih organov v tretji državi do podatkov. [Sprememba 62]

(90)  Nekatere tretje države sprejemajo zakone, predpise in druge zakonodajne akte, ki neposredno urejajo dejavnosti obdelave podatkov fizičnih in pravnih oseb, ki so pod sodno pristojnostjo držav članic. Zunajozemeljska uporaba teh zakonov, predpisov in drugih zakonodajnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so pogoji te uredbe za prenos v tretje države izpolnjeni. To je lahko med drugim v primerih, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca. Pogoje, pod katerimi obstaja pomemben javni interes, bi morala Komisija natančneje določiti z delegiranim aktom. Kadar bi se upravljavci ali obdelovalci srečali z navzkrižjem v zvezi z zahtevami glede skladnosti med pristojnostjo Unije na eni ter pristojnostjo tretje države na drugi strani, bi morala Komisija zagotoviti, da ima zakonodaja Unije vedno prednost. Komisija bi morala upravljavcu in obdelovalcu zagotoviti smernice in pomoč ter si prizadevati za rešitev spora v zvezi s pristojnostjo z zadevno tretjo državo. [Sprememba 63]

(91)  Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev sredstev. Zato obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za varstvo podatkov za pomoč pri izmenjavi informacij in izvajanju preiskav s tujimi nadzornimi organi za varstvo podatkov.

(92)  Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo. Organ mora imeti ustrezne finančne in človeške vire za popolno izvajanje svoje vloge, ob upoštevanju številčnosti populacije in obsega obdelave osebnih podatkov. [Sprememba 64]

(93)  Če država članica ustanovi več nadzornih organov, bi morala z zakonom vzpostaviti mehanizme za zagotavljanje učinkovitega sodelovanja teh nadzornih organov v mehanizmu za skladnost. Za zagotovitev hitrega in neoviranega sodelovanja z ostalimi nadzornimi organi, Evropskim odborom za varstvo podatkov in Komisijo bi morala ta država članica imenovati zlasti nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito sodelovanje teh organov v mehanizmu.

(94)  Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, s posebnim poudarkom na zagotavljanju ustreznega tehničnega in pravnega znanja osebja, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji. [Sprememba 65]

(95)  Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, pri čemer si je treba prizadevati za zmanjšanje možnosti političnega vmešavanja na najnižjo možno raven, ter vsebovati pravila o osebnih kvalifikacijah članov, preprečevanju nasprotij interesov in položaju teh članov. [Sprememba 66]

(96)  Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali fizične osebe pri obdelavi njihovih osebnih podatkov in olajšali prosti pretok osebnih podatkov na notranjem trgu. Zato bi morali nadzorni organi sodelovati med seboj in s Komisijo.

(97)  Kadar obdelava osebnih podatkov v okviru dejavnosti ustanovitve enote upravljavca ali obdelovalca v Uniji poteka v več kot eni državi članici, bi moral biti en sam nadzorni organ pristojen za spremljanje dejavnosti delovati kot enotna kontaktna točka in vodilni organ, pristojen za upravljavca ali obdelovalca v vsej Uniji in sprejemati s tem povezane odločitve, da bi povečal doslednost uporabe, zagotovil pravno varnost in za take upravljavce in obdelovalce zmanjšal upravno breme. [Sprememba 67]

(98)  Prist ojni Vodilni organ, ki zagotavlja „vse na enem mestu“, bi moral biti nadzorni organ države članice, v kateri ima upravljavec ali obdelovalec glavni sedež ali svojega predstavnika . Evropski odbor za varstvo podatkov lahko na zahtevo pristojnega organa v nekaterih primerih preko mehanizma za skladnost določi vodilni organ. [Sprememba 68]

(98a)  Posamezniki, katerih osebne podatke obdeluje upravljavec ali obdelovalec podatkov v drugi državi članici, bi morali imeti možnost pritožbe na nadzorni organ po lastni izbiri. Vodilni organ za varstvo podatkov bi moral usklajevati svoje delo z delom drugih sodelujočih organov. [Sprememba 69]

(99)  Čeprav se ta uredba uporablja tudi za dejavnosti nacionalnih sodišč, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi morala biti ta izjema omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu z nacionalno zakonodajo.

(100)  Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij, zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku. Preiskovalna pooblastila nadzornih organov glede dostopa v prostore bi bilo treba izvajati v skladu z zakonodajo Unije in nacionalno zakonodajo. To se nanaša zlasti na zahtevo glede predhodnega sodnega dovoljenja.

(101)  Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki deluje v javnem interesu, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje proučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. [Sprememba 70]

(102)  Dejavnosti nadzornih organov, ki so namenjene ozaveščanju javnosti, bi morale obsegati posebne ukrepe, usmerjene na upravljavce in obdelovalce, vključno z mikro-, malimi in srednje velikimi podjetji, pa tudi posameznike, na katere se nanašajo osebni podatki.

(103)  Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje te uredbe na notranjem trgu.

(104)  Vsak nadzorni organ bi moral imeti pravico do sodelovanja pri skupnem ukrepanju nadzornih organov. Zaprošeni nadzorni organ bi moral na zahtevo odgovoriti v določenem roku.

(105)  Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi in s Komisijo. Ta mehanizem bi se moral uporabljati zlasti v primerih, ko namerava nadzorni organ ukrepati glede postopkov obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem takih posameznikov, ali pa v primerih, ki bi lahko znatno vplivali na prosti pretok osebnih podatkov. Uporabljati bi se moral tudi, kadar nadzorni organ ali Komisija zahteva, da se zadeva obravnava v mehanizmu za skladnost. Poleg tega bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico do zagotovitve doslednosti, če menijo, da ukrep organa za varstvo podatkov države članice ni izpolnil tega merila. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb. [Sprememba 71]

(106)  Pri uporabi mehanizma za skladnost bi moral Evropski odbor za varstvo podatkov v določenem roku podati mnenje, če tako odloči navadna večina članov ali če to zahteva kateri koli nadzorni organ ali Komisija.

(106a)  Da se zagotovi dosledna uporaba te uredbe, Evropski odbor za varstvo podatkov lahko v posameznih primerih sprejeme odločitev, ki je zavezujoča za pristojne nadzorne organe. [Sprememba 72]

(107)  Za zagotovitev skladnosti s to uredbo lahko Komisija o tem sprejme mnenje ali sklep, ki od nadzornega organa zahteva, da svoj osnutek ukrepa začasno prekliče. [Sprememba 73]

(108)  Lahko se pojavi nujna potreba po ukrepanju za zaščito interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi lahko bilo uveljavljanje pravice posameznika, na katerega se nanašajo osebni podatki, močno ovirano. Zato bi moral nadzorni organ imeti možnost, da pri uporabi mehanizma za skladnost sprejme začasne ukrepe z določenim obdobjem veljavnosti.

(109)  Uporaba tega mehanizma bi morala biti pogoj za pravno veljavnost in izvajanje zadevne odločitve nadzornega organa. V drugih primerih čezmejnega pomena se lahko medsebojna pomoč in skupno ukrepanje med zadevnimi nadzornimi organi izvajata na dvostranski ali večstranski podlagi, ne da bi pri tem sprožili mehanizem za skladnost.

(110)  Na ravni Unije bi bilo treba ustanoviti Evropski odbor za varstvo podatkov. Moral bi nadomestiti delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov. Komisija bi morala sodelovati pri dejavnostih odbora. Evropski odbor za varstvo podatkov bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji institucijam Evropske unije in spodbujanjem sodelovanja nadzornih organov v vsej Uniji, vključno z usklajevanjem skupnih dejavnosti . Evropski odbor za varstvo podatkov mora pri opravljanju svojih nalog delovati neodvisno. Evropski odbor za varstvo podatkov bi moral okrepiti dialog z ustreznimi deležniki, kot so združenja posameznikov, na katere se nanašajo osebni podatki, organizacije potrošnikov, upravljavci podatkov in drugi ustrezni deležniki in strokovnjaki. [Sprememba 74]

(111)  Vsak posameznik Posameznik , na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do učinkovitega pravnega sredstva v sodnem postopku skladu s členom 47 Listine , če meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. [Sprememba 75]

(112)  Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov ki deluje v javnem interesu, in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe , da v imenu posameznika, na katerega se nanašajo osebni podatki, vloži pritožbo pri nadzornem organu ali uveljavitve pravice uveljavlja pravico do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki , če ima pooblastilo tega posameznika, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov te uredbe . [Sprememba 76]

(113)  Vsaka fizična ali pravna oseba bi morala imeti pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v zvezi z njo. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

(114)  Za okrepitev sodnega varstva posameznika, na katerega se nanašajo osebni podatki, kadar je pristojni nadzorni organ ustanovljen v drugi državi članici kot tisti, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, lahko tak posameznik od katerega pooblasti kateri koli organa, organizacije ali združenja, katerega namen je varstvo pravic in interesov posameznikov pri obdelavi njihovih podatkov, zahteva organ, organizacijo ali združenje, ki deluje v javnem interesu , da v njegovem imenu pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. [Sprememba 77]

(115)  V primerih, kadar se pristojni nadzorni organ s sedežem v drugi državi članici ne odzove ali ne sprejme zadostnih ukrepov v zvezi s pritožbo, lahko posameznik, na katerega se nanašajo osebni podatki, od nadzornega organa države članice njegovega običajnega prebivališča zahteva, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. To ne velja za nerezidente v EU. Zaprošeni nadzorni organ se lahko odloči, ali je primerno ugoditi zahtevi; odločitev je lahko predmet sodne presoje. [Sprememba 78]

(116)  V postopkih zoper upravljavca ali obdelovalca bi moral imeti tožnik možnost, da postopek začne pred sodiščem države članice, v kateri ima upravljavec ali obdelovalec sedež enoto ali v primeru dovoljenja za prebivanje v EU , ali pred sodiščem države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ Unije ali države članice , ki izvaja svoja javna pooblastila. [Sprememba 79]

(117)  Kadar obstajajo dokazi, da pred sodišči v različnih državah članicah potekajo vzporedni postopki, bi morala biti sodišča zavezana, da med seboj navežejo stik. Sodišča bi morala imeti možnost, da v primeru, ko je v drugi državi članici v obravnavi vzporedna zadeva, postopek ustavijo. Države članice bi morale zagotoviti učinkovite sodne postopke z možnostjo hitrega sprejetja ukrepov za odpravo ali preprečevanje kršitev te uredbe.

(118)  Vso škodo, ne glede na to, ali je denarna ali ne, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti le , če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako , da je krivda na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile. [Sprememba 80]

(119)  Kaznovati bi bilo treba vsako osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to uredbo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij. Za pravila o kaznih bi se morali uporabljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine o temeljnih pravicah, tudi tistimi o pravici do učinkovitega pravnega sredstva, dolžnem postopanju in uporabi načela ne bis in idem. [Sprememba 81]

(119a)  Države članice bi morale pri uporabi kazni v celoti spoštovati ustrezne postopkovne zaščitne ukrepe, tudi pravico do učinkovitega pravnega sredstva, dolžno postopanje in uporabo načela ne bis in idem. [Sprememba 82]

(120)  Za okrepitev in uskladitev upravnih sankcij za kršitve te uredbe bi moral imeti vsak nadzorni organ pooblastila za kaznovanje upravnih kršitev. Ta uredba bi morala navajati te kršitve in zgornjo mejo s tem povezanih upravnih kazni, ki bi morale biti v vsakem posameznem primeru določene sorazmerno s posebnimi okoliščinami in ob upoštevanju zlasti narave, teže in trajanja kršitve. Mehanizem za skladnost se lahko uporabi tudi za kritje razlik pri uporabi upravnih sankcij.

(121)  Za Kadar je to potrebno, bi morale biti za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, bi morala veljati izjema možne izjeme ali odstopanja od zahtev nekaterih določb te uredbe, da se uskladi pravica do varstva osebnih podatkov s pravico do svobode izražanja in predvsem pravico do sprejemanja in širjenja informacij, kot je zagotovljeno zlasti v členu 11 Listine Evropske unije o temeljnih pravicah. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, ki bi morali določati izjeme in odstopanja, potrebne za uravnoteženje teh temeljnih pravic. Take izjeme in odstopanja bi države članice morale sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov ter , sodelovanja in skladnosti ter posebnih primerov obdelave podatkov . Vendar pa države članice ne bi smele določati izjem od drugih določb te uredbe. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu. Zato bi morale države članice opredeliti , da bodo zajemali vse dejavnosti kot „novinarske“ za namene izjem in odstopanj na podlagi te uredbe, če je predmet teh dejavnosti , katerih cilj je razkritje informacij, mnenj ali idej javnosti, ne glede na medij, s katerim se prenašajo, pri tem pa se upošteva tudi tehnološki razvoj . Ne bi smele biti omejene na medijske družbe, opravljajo pa se lahko v profitne ali neprofitne namene. [Sprememba 83]

(122)  Obdelava osebnih podatkov v zvezi z zdravjem kot posebne vrste podatkov, ki jih je treba bolje varovati, je pogosto lahko upravičena zaradi številnih zakonitih razlogov v korist posameznikov in družbe kot celote, zlasti v okviru zagotavljanja neprekinjenosti čezmejnega zdravstvenega varstva. Zato bi morala ta uredba določiti usklajene pogoje za obdelavo osebnih podatkov v zvezi z zdravjem, za katere veljajo posebni in ustrezni zaščitni ukrepi, ki varujejo temeljne pravice in osebne podatke posameznikov. To vključuje pravico posameznikov, da imajo dostop do lastnih osebnih podatkov v zvezi z zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoza, rezultati preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posege.

(122a)  Strokovnjak, ki obdeluje osebne zdravstvene podatke, bi moral po možnosti prejeti anonimizirane ali psevdonimizirane podatke, pri čemer identiteto pozna le splošni zdravnik ali specialist, ki je zahteval obdelavo teh podatkov. [Sprememba 84]

(123)  Obdelava osebnih podatkov v zvezi z zdravjem je lahko potrebna zaradi javnega interesa na področju javnega zdravja, brez privolitve posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem je bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljeno v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (9) , kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave osebnih podatkov v zvezi z zdravjem zaradi javnega interesa tretje osebe, kot so delodajalci ter zavarovalne in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene. [Sprememba 85]

(123a)  Obdelava osebnih podatkov v zvezi z zdravjem kot posebne kategorije podatkov je lahko potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Uredba zato določa izvzetje iz zahteve po privolitvi v primerih raziskav, ki so v velikem javnem interesu. [Sprememba 86]

(124)  Splošna načela o varstvu posameznikov pri obdelavi osebnih podatkov bi morala veljati tudi glede zaposlitve in socialnega varstva . Za ureditev obdelave osebnih podatkov zaposlenega v okviru zaposlitve bi morale države Države članice bi morale imeti možnost, da v mejah te uredbe sprejmejo posebno zakonodajo o obdelavi ureditve obdelave osebnih podatkov v sektorju zaposlovanja okviru zaposlitve in obdelavo osebnih podatkov v okviru socialnega varstva v skladu s pravili in minimalnimi standardi iz te uredbe . Če v zadevni državi članici obstaja pravna podlaga, ki omogoča ureditev zadev iz delovnega razmerja s sporazumom med predstavniki zaposlenih in vodstvom podjetja ali družbe, ki obvladuje skupino povezanih družb (kolektivni sporazum) ali v skladu z Direktivo 2009/38/ES Evropskega parlamenta in Sveta (10) , potem se lahko s takim sporazumom uredi tudi obdelava osebnih podatkov v okviru zaposlitve. [Sprememba 87]

(125)  Da bi bila obdelava osebnih podatkov v zgodovinske, statistične in znanstvenoraziskovalne namene zakonita, bi morala spoštovati tudi drugo ustrezno zakonodajo, na primer zakonodajo o kliničnem preskušanju.

(125a)  Osebne podatke lahko naknadno obdelajo službe za arhiviranje, katerih glavna naloga ali obveznost je zbiranje, hramba, posredovanje informacij, uporaba in razširjanje arhivskega gradiva v javnem interesu. Države članice z zakonodajo uskladijo pravico do varstva osebnih podatkov s pravili o arhivih in o dostopu javnosti do upravnih informacij. Države članice spodbujajo pripravo pravil, zlasti s strani Evropske skupine za arhiviranje, za zagotavljanje zaupnosti podatkov v razmerju do tretjih strank in verodostojnosti, celovitosti in ustrezne hrambe podatkov. [Sprememba 88]

(126)  Znanstvene raziskave za namene te uredbe bi morale obsegati temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, obenem pa bi morale upoštevati cilj Unije iz člena 179(1) Pogodbe o delovanju Evropske unije glede oblikovanja evropskega raziskovalnega območja. Obdelava osebnih podatkov iz zgodovinskih, statističnih in znanstvenoraziskovalnih namenov ne bi smela privesti do obdelave osebnih podatkov v druge namene, razen s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali na podlagi prava Unije ali države članice. [Sprememba 89]

(127)  Glede pooblastil nadzornih organov, da od upravljavca ali obdelovalca dobijo dostop do osebnih podatkov in njegovih prostorov, lahko države članice v mejah te uredbe sprejmejo posebno zakonodajo glede varovanja poklicne ali druge enakovredne obveznosti molčečnosti, v kolikor je to potrebno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti.

(128)  Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi nacionalne zakonodaje v državah članicah, kot je priznan v členu 17 Pogodbe o delovanju Evropske unije. Zato bi se morala, če cerkev v državi članici v času začetka veljavnosti te uredbe uporablja celovita ustrezna pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta veljavna pravila uporabljati še naprej, če se uskladijo s to uredbo in se prizna, da so z njo skladna . Od cerkva in verskih združenj bi bilo treba zahtevati, da zagotovijo ustanovitev popolnoma neodvisnega nadzornega organa. [Sprememba 90]

(129)  Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Delegirane akte bi bilo treba sprejeti zlasti glede zakonitosti obdelave; določanja meril in pogojev v zvezi s privolitvijo otroka; obdelave posebnih vrst podatkov; določanja meril in pogojev za očitno čezmerne zahteve in pristojbin za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki; meril in zahtev po obveščanju posameznika, na katerega se nanašajo osebni podatki, in v zvezi s pravico do dostopa; določanja pogojev za zagotavljanje informacij, ki temelji na ikonah; pravice biti pozabljen in do izbrisa; ukrepov, ki temeljijo na oblikovanju profilov; meril in zahtev glede odgovornosti upravljavca ter glede vgrajenega varstva podatkov; obdelovalca; meril in zahtev za beleženje in varnost obdelave; meril in zahtev za ugotavljanje kršitve varnosti osebnih podatkov in za obveščanje nadzornega organa o kršitvi ter o okoliščinah, v katerih bo kršitev verjetno škodljivo vplivala na posameznika, na katerega se nanašajo osebni podatki; meril in pogojev za postopke obdelave, pri katerih je potrebna ocena učinka o varstvu podatkov; meril in zahtev za določanje visoke ravni posebnih tveganj, zaradi katerih je potrebno predhodno posvetovanje; imenovanja in nalog uradne osebe za varstvo podatkov; pravil ravnanja; meril in zahtev za mehanizme za potrjevanje; izjave, da so pravila ravnanja skladna s to uredbo; meril in zahtev za prenose na podlagi zavezujočih poslovnih pravil; odstopanj za prenose; upravnih sankcij; obdelave v zdravstvene namene; in obdelave v okviru zaposlitve ter obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene . Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov, zlasti z Evropskim odborom za varstvo podatkov . Komisija bi morala pri pripravi in oblikovanju med pripravo in sestavljanjem delegiranih aktov zagotoviti, da so se ustrezni dokumenti sočasno, pravočasno in ustrezno predložijo Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način . [Sprememba 91]

(130)  Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev standardnih obrazcev za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi z obdelavo osebnih podatkov otroka; standardne postopke in obrazce standardnih obrazcev za uveljavljanje sporočila posameznikom, kateri podatke se obdeluje, o uveljavljanju njihovih pravic posameznikov, na katere se nanašajo osebni podatki ; standardne obrazce standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardne obrazce in postopke standardnih obrazcev v zvezi s pravico do dostopa; pravico do prenosljivosti , vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki ; standardne obrazce standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec ; posebne zahteve glede varnosti obdelave; standardne oblike zapisa in postopke standardnih obrazcev za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti za dokumentiranje kršitve osebnih podatkov; standarde in postopke za oceno učinka o varstvu podatkov; obrazce in postopke obrazcev za predhodno odobritev in predhodno posvetovanje z nadzornim organom in njegovo obveščanje ; tehnične standarde in mehanizme za potrjevanje; ustrezno raven varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritja, ki jih pravo Unije ne dovoljuje; medsebojno pomoč; skupno ukrepanje; odločitve v okviru mehanizma za skladnost . Ta pooblastila Pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (11) . V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja. [Sprememba 92]

(131)  Za Postopek pregleda bi bilo treba uporabljati za sprejetje standardnih obrazcev: za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi s privolitvijo z obdelavo osebnih podatkov otroka; standardnih postopkov in obrazcev za uveljavljanje pravic obveščanje posameznikov, na katere se nanašajo osebni podatki katerih podatke se obdeluje, o uveljavljanju njihovih pravic ; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev in postopkov v zvezi s pravico do dostopa vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki ; pravice do prenosljivosti podatkov; standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec ; posebnih zahtev glede varnosti obdelave; standardnih oblik zapisa in postopkov za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi za dokumentiranje kršitve varnosti osebnih podatkov; standardov in postopkov za oceno učinka o varstvu podatkov; obrazcev in postopkov za predhodno odobritev in predhodno posvetovanje; tehničnih standardov in mehanizmov za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritij, ki jih pravo Unije ne dovoljuje; medsebojne pomoči; skupnega ukrepanja; odločitev v okviru mehanizma za skladnost bi bilo treba uporabiti postopek pregleda, saj se z nadzornim organom in njegovo obveščanje, glede na to, da ti akti splošno uporabljajo. [Sprememba 93]

(132)  Komisija bi morala sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva, in v zvezi z zadevami, o katerih Komisijo v okviru mehanizma za skladnost obvestijo nadzorni organi. [Sprememba 94]

(133)  Ker države članice ne morejo zadovoljivo doseči ciljev te uredbe, tj. zagotoviti enako raven varstva posameznikov in prosti pretok podatkov v vsej Uniji, temveč se zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(134)  S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Sklepi, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in odobritve s strani nadzornih organov bi morali ostati v veljavi. Sklepi Komisije in odobritve nadzornih organov, ki so povezani s prenosi osebnih podatkov v tretje države v skladu s členom 41(8), bi morali ostati v veljavi za prehodno obdobje petih let od začetka veljavnosti te uredbe, razen če jih Komisija spremeni, nadomesti ali razveljavi pred koncem tega obdobja. [Sprememba 95]

(135)  Ta uredba bi se morala uporabljati za vse zadeve, povezane z varstvom temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES Evropskega parlamenta in Sveta(12) , vključno z obveznostmi za upravljavce in pravicami posameznikov. Za pojasnitev povezave med to uredbo in Direktivo 2002/58/ES bi bilo treba slednjo ustrezno spremeniti.

(136)  Kar zadeva Islandijo in Norveško, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško, v zvezi s pridružitvijo teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda(13) .

(137)  Kar zadeva Švico, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda(14) .

(138)  Kar zadeva Lihtenštajn, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda(15) .

(139)  Ob upoštevanju dejstva, kot ga je poudarilo Sodišče Evropske unije, da pravica do varstva osebnih podatkov ni absolutna pravica, temveč jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in v skladu z načelom sorazmernosti uskladiti z drugimi temeljnimi pravicami, ta uredba spoštuje vse temeljne pravice in upošteva načela, priznana z Listino Evropske unije o temeljnih pravicah, kot so zajeta v Pogodbah, zlasti pravico do spoštovanja zasebnega in družinskega življenja, stanovanja ter komunikacij, pravico do varstva osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Vsebina in cilji

1.  Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

2.  Ta uredba varuje temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do varstva osebnih podatkov.

3.  Prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Člen 2

Stvarno področje uporabe

1.  Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi, ne glede na metodo obdelave, in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

2.  Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)  v okviru dejavnosti zunaj področja uporabe zakonodaje prava Unije, zlasti v zvezi z nacionalno varnostjo ;

(b)  s strani institucij, organov, uradov in agencij Unije;

(c)  s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji;

(d)  s strani fizične osebe brez kakršnega koli pridobitnega interesa v teku lastne izrecno med potekom izključno osebne ali domače dejavnosti. Ta izjema se uporablja tudi za objavo osebnih podatkov, kadar se lahko upravičeno pričakuje, da jih bo dostopalo le omejeno število oseb ;

(e)  s strani pristojnih javnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

3.  Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive. [Sprememba 96]

Člen 3

Ozemeljsko področje uporabe

1.  Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji, ne glede na to, ali se ti podatki obdelujejo v Uniji ali ne .

2.  Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo , v Uniji, s strani upravljavca ali obdelovalca , ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z:

(a)  nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo takšnega posameznika, ali

(b)  spremljanjem njihovega vedenja takšnih posameznikov .

3.  Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se nacionalna zakonodaja države članice uporablja na podlagi mednarodnega javnega prava. [Sprememba 97]

Člen 4

Opredelitve pojmov

V tej uredbi:

(1)  „posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;

(2)  „osebni podatki“ pomenijo vsako informacijo v zvezi s posameznikom katere koli informacije, ki se nanašajo na določeno ali določljivo fizično osebo („posameznik , na katerega se nanašajo osebni podatki‟); določljiva oseba je tista, ki se lahko neposredno ali posredno določi, zlasti s pomočjo identifikatorjev, kot so ime, identifikacijska številka, podatki o lokaciji, edinstveni identifikator ali eden ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno, družbeno ali spolno identiteto te osebe ;

(2a)  „psevdonimizirani podatki“ pomenijo osebne podatke, ki jih brez dodatnih informacij ni mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje nepripisovanja;

(2b)  „šifrirani podatki“ pomenijo osebne podatke, ki so zaradi tehnoloških zaščitnih ukrepov nerazumljivi vsaki osebi, ki ni pooblaščena za dostop do njih;

(3)  „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, izbris ali uničenje;

(3a)  „oblikovanje profilov“ pomeni vsako obliko samodejne obdelave osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe;

(4)  „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(5)  „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(6)  „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(7)  „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki so mu bili osebni podatki razkriti;

(7a)  „tretja stranka“ pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in oseba, ki je neposredno podrejena upravljavcu ali obdelovalcu, ki je pooblaščen za obdelavo podatkov;

(8)  „privolitev posameznika, na katerega se nanašajo osebni podatki“, pomeni vsako prostovoljno dano posebno, informirano in izrecno izjavo volje posameznika, s katero posameznik, na katerega se nanašajo osebni podatki, z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo podatkov, ki se nanašajo nanj;

(9)  „kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(10)  „genetski podatki“ pomenijo vse osebne podatke ne glede na njihovo vrsto v zvezi , povezane z genetskimi značilnostmi posameznika, ki so bile podedovane ali pridobljene v zgodnjem prenatalnem obdobju , kot izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize kakršnega koli drugega elementa, ki zagotavlja enakovredne informacije ;

(11)  „biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(12)  „podatki o zdravstvenem stanju“ pomenijo vsako informacijo vse osebne podatke , ki se nanaša nanašajo na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(13)  „glavni sedež“ v zvezi z upravljavcem pomeni kraj ustanovitve podjetja ali povezanih družb v Uniji, bodisi upravljavca bodisi obdelovalca, kjer se sprejemajo glavne odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov; če se odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov ne sprejemajo v Uniji, je glavni sedež kraj, v katerem se izvajajo glavni postopki obdelave v okviru dejavnosti ustanovitve upravljavca v Uniji . V zvezi z obdelovalcem „glavni sedež“ pomeni kraj njegove osrednje uprave v Uniji; Med drugim se lahko upoštevajo naslednja objektivna merila: lokacija sedeža upravljavca ali obdelovalca; lokacija subjekta znotraj povezane družbe, ki je glede vodstvenih funkcij in upravnih odgovornosti najbolj primeren za obravnavo in izvrševanje pravil iz te uredbe; lokacije, kjer se izvajajo dejanske in resnične vodstvene dejavnosti, ki s stabilnimi ureditvami določajo obdelavo podatkov;

(14)  „predstavnik“ pomeni vsako fizično ali pravno osebo, ustanovljeno s sedežem v Uniji, ki jo je izrecno imenoval upravljavec in ki v Uniji deluje namesto zastopa upravljavca, nadzorni organi in drugi organi v Uniji pa se lahko namesto na upravljavca nanjo obrnejo v zvezi z njegovimi obveznostmi upravljavca iz te uredbe;

(15)  „podjetje“ pomeni vsak subjekt, ki opravlja gospodarsko dejavnost, ne glede na njegovo pravno obliko, in obsega zlasti fizične in pravne osebe, partnerstva ali združenja, ki redno opravljajo gospodarsko dejavnost;

(16)  „povezane družbe“ pomenijo obvladujočo družbo in njene odvisne družbe;

(17)  „zavezujoča poslovna pravila“ pomenijo politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec, ustanovljen na ozemlju države članice Unije, upošteva pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe v eni ali več tretjih državah;

(18)  „otrok“ pomeni osebo, mlajšo od 18 let;

(19)  „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 46 ustanovi država članica. [Sprememba 98]

POGLAVJE II

NAČELA

Člen 5

Načela v zvezi z obdelavo osebnih podatkov

Osebni podatki morajo biti so :

(a)  obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (zakonitost, pravičnost in preglednost) ;

(b)  zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni (omejitev namena) ;

(c)  primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki (zmanjšanje količine podatkov na najmanjšo možno mero) ;

(d)  točni in po potrebi posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (natančnost) ;

(e)  shranjeni v obliki, ki dopušča neposredno ali posredno identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki so lahko shranjeni dalj časa, če bodo podatki obdelani v zgodovinske, statistične ali znanstvenoraziskovalne ali pa arhivske namene v skladu s pravili in pogoji iz člena 83 in 83a in če se redno preverja potreba po nadaljnjem shranjevanju podatkov, poleg tega pa morajo biti vzpostavljeni ustrezni tehnični in organizacijski ukrepi za omejevanje dostopa do podatkov le za te namene (zmanjšanje hrambe na najmanjšo možno mero) ;

(ea)  obdelani na način, ki posamezniku, na katerega se nanašajo, omogoča učinkovito uveljavljanje njegovih pravic (učinkovitost);

(eb)  obdelani na način, ki ščiti pred nedovoljeno ali nezakonito obdelavo ter pred naključno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost);

(f)  obdelani v okviru pristojnosti in odgovornosti upravljavca, ki za vsak postopek obdelave zagotovi in dokaže je zmožen dokazati skladnost z določbami te uredbe (odgovornost) . [Sprememba 99]

Člen 6

Zakonitost obdelave

1.  Obdelava osebnih podatkov je zakonita le, če je izpolnjen vsaj eden od naslednjih pogojev:

(a)  posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)  obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe;

(c)  obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)  obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki;

(e)  obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)  obdelava je potrebna zaradi pravnih interesov, za katere si prizadeva upravljavec ali, v primeru razkritja, tretja stranka, kateri se podatki razkrijejo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca , razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. To ne velja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2.  Obdelava osebnih podatkov, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, je zakonita pod pogoji in v skladu z zaščitnimi ukrepi iz člena 83.

3.  Podlaga za obdelavo iz točk (c) in (e) odstavka 1 mora biti določena v:

(a)  pravu Unije ali

(b)  pravu države članice, ki se uporablja za upravljavca.

Zakonodaja države članice mora izpolnjevati cilj javnega interesa ali biti potrebna zaradi varstva pravic in svoboščin drugih, spoštovati bistveno vsebino pravice do varstva osebnih podatkov in biti sorazmerna z zakonitim ciljem, za katerega si prizadeva. V mejah te uredbe, pravo države članice lahko ureja podrobnosti v zvezi z zakonitostjo obdelave, zlasti v zvezi z upravljavcem, namenom obdelave in omejitve glede na namen, z naravo podatkov, posamezniki, na katere se osebni podatki nanašajo, ukrepi in postopki obdelave, s prejemniki ter z rokom shranjevanja.

4.  Če namen nadaljnje obdelave ni skladen z namenom, za katerega so bili osebni podatki zbrani, mora imeti obdelava pravno podlago v vsaj enem od razlogov iz točk (a) do (e) odstavka 1. To velja zlasti za vsako spremembo splošnih pogodbenih pogojev.

5.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi pogoje iz točke (f) odstavka 1 za različne sektorje in primere obdelave podatkov, vključno z obdelavo osebnih podatkov v zvezi z otrokom. [Sprememba 100]

Člen 7

Pogoji za privolitev

1.  Upravljavec mora Kadar obdelava temelji na privolitvi, mora upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v določene namene.

2.  Če bo je privolitev posameznika, na katerega se nanašajo osebni podatki, podana v pisni izjavi, ki se nanaša tudi na drugo zadevo, se mora zahteva glede privolitve po videzu jasno razlikovati od te druge zadeve. Določbe o privolitvi posameznika, na katerega se nanašajo osebni podatki, ki deloma kršijo to uredbo, so v popolnoma neveljavne.

3.  Posameznik, na katerega se nanašajo osebni podatki, ima ne glede na druge pravne podlage za obdelavo pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Privolitev je enako enostavno preklicati kot dati. Posameznik, na katerega se nanašajo osebni podatki, se obvesti, če bi se zaradi preklica lahko ukinilo storitve, ki jih nudi, ali razmerje z upravljavcem.

4.  Privolitev ne pomeni pravne podlage za obdelavo, če obstaja veliko neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem. Privolitev je vezana na namen in postane neveljavna, kadar namen ni več podan ali takoj, ko obdelava osebnih podatkov ni več potrebna za izvajanje namena, zaradi katerega se jih je prvotno zbiralo. Izvrševanje pogodbe ali zagotavljanje storitve ni odvisno od privolitve za obdelavo ali uporabo podatkov, ki niso potrebni za izvrševanje pogodbe ali zagotavljanje storitve skladno s členom 6(1), točka (b). [Sprememba 101]

Člen 8

Obdelava osebnih podatkov otroka

1.  Za namene te uredbe je v zvezi s z blagom ali storitvami informacijske družbe , ki se neposredno zagotavljajo otroku, obdelava osebnih podatkov otroka, mlajšega od 13 let, zakonita le, če in v obsegu, v katerem privolitev da ali odobri starš ali zakoniti skrbnik otroka. Upravljavec si ob upoštevanju razpoložljive tehnologije razumno prizadeva za pridobitev privolitve, ki jo je mogoče preveriti , da preveri takšno privolitev, ne da bi pri tem povzročil nepotrebno obdelavo osebnih podatkov .

1a.  Informacije, dane otrokom, staršem in zakonitim skrbnikom otroka, za izraz privolitve, vključno o zbiranju in uporabi osebnih podatkov s strani upravljavca, se morajo podati v jasnem jeziku, ki je primeren glede na publiko, ki so jim namenjene.

2.  Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, obliki ali učinku pogodbe v zvezi z otrokom.

3.  Komisija je Evropskemu odboru za varstvo podatkov se zaupa naloga, da izda smernice, priporočila in zglede najboljše prakse v skladu s členom 86 66 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za metode za pridobitev preverjanja privolitve, ki jo je mogoče preveriti, iz odstavka 1. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

4.  Komisija lahko določi standardne obrazce za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 102]

Člen 9

Obdelava posebnih vrst Posebne kategorije osebnih podatkov

1.  Prepovedana je obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično, versko ali filozofsko prepričanje, vero ali prepričanje, spolno usmerjenost ali identiteto, članstvo in dejavnosti v sindikatu, genetske podatke, podatke in obdelava genetskih ali biometričnih podatkov, podatkov v zvezi z zdravjem ali spolnim življenjem, kazenskimi upravnimi kaznimi, sodbami, kaznivimi dejanji ali sumom kaznivih dejanj, obsodbami ali s tem povezanimi varnostnimi ukrepi.

2.  Odstavek 1 se ne uporablja, kadar če velja eno od naslednjega :

(a)  je posameznik, na katerega se nanašajo osebni podatki, pod pogoji iz členov 7 in 8 dal svojo privolitev k obdelavi navedenih osebnih podatkov za en ali več določenih namenov , razen kadar zakonodaja Unije ali zakonodaja držav članic določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1, ali

(aa)  je obdelava potrebna za izvajanje in izvrševanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali da se na zahtevo posameznika, na katerega se nanašajo osebni podatki, izvedejo ukrepi pred sklenitvijo pogodbe, ali

(b)  je obdelava potrebna zaradi izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca na področju prava zaposlovanja, če to dovoljuje pravo Unije ali pravo držav članic ali kolektivni sporazumi , ki zagotavlja zagotavljajo ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju pogojev in zaščitnih ukrepov iz člena 82 , ali

(c)  je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar je posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno nesposoben dati svojo privolitev, ali

(d)  obdelavo izvaja v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi ustanova, združenje ali kateri koli drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne posredujejo zunaj tega organa brez privolitve posameznikov, na katere se nanašajo osebni podatki, ali

(e)  je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, ali

(f)  je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

(g)  je obdelava potrebna za opravljanje naloge, ki se izvaja v visokem javnem interesu, na podlagi zakonodaje prava Unije ali zakonodaje prava držav članic, ki je sorazmerna s ciljem, za katerega si prizadeva, spoštuje bistveno vsebino pravice do varstva podatkov in zagotavlja ustrezne primerne ukrepe za zaščito pravnih temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki, ali

(h)  je obdelava podatkov v zvezi z zdravjem potrebna v zdravstvene namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 81, ali

(i)  je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 83, ali

(ia)  je obdelava potrebna za storitve arhiviranja, za katere veljajo pogoji in zaščitni ukrepi iz člena 83a, ali

(j)  se obdelava podatkov v zvezi s kazenskimi z upravnimi kaznimi, sodbami, kaznivimi dejanji, obsodbami ali s tem povezanimi varnostnimi ukrepi izvaja pod nadzorom uradnega organa ali kadar je obdelava potrebna zaradi skladnosti z zakonsko ali regulativno obveznostjo, ki velja za upravljavca, ali zaradi opravljanja naloge, izvedene zaradi pomembnega javnega interesa, in če zakonodaja Unije ali zakonodaja držav članic zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki . Popoln Vsak register kazenskih obsodb se vodi samo pod nadzorom uradnega organa.

3.  Komisija je Evropskemu odboru za varstvo podatkov se zaupa naloga, da izda smernice, priporočila in zglede najboljše prakse v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila, pogoje in ustrezne zaščitne ukrepe 66 za obdelavo posebnih vrst osebnih podatkov iz odstavka 1 ter izjeme iz odstavka 2. [Sprememba 103]

Člen 10

Obdelava, ki ne omogoča identifikacije

1.  Če podatki, ki jih upravljavec obdeluje, upravljavcu ali obdelovalcu ne omogočajo neposredne ali posredne identifikacije fizične osebe ali če jih sestavljajo zgolj psevdonomizirani podatki , potem upravljavec ni zavezan k pridobivanju ne obdeluje ali pridobiva dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.

2.  Če upravljavec podatkov ne more izpolniti določbe iz te uredbe zaradi odstavka 1, potem ni zavezan izpolnjevanju zadevne določbe iz te uredbe. Še upravljavec podatkov posledično ne more izpolniti zahteve posameznika, na katerega se nanašajo osebni podatki, potem ga o tem ustrezno obvesti. [Sprememba 104]

Člen 10a

Splošna načela za pravice posameznika, na katerega se nanašajo osebni podatki

1.  Osnova za varstvo podatkov so jasne in nedvoumne pravice za posameznika, na katerega se nanašajo osebni podatki, ki jih upravljavec podatkov spoštuje. Namen določb te uredbe je okrepiti, pojasniti, zagotoviti in, kjer je ustrezno, kodificirati te pravice.

2.  Te pravice med drugim zajemajo zagotavljanje jasnih in lahko razumljivih informacij v zvezi z obdelavo osebnih podatkov posameznika, pravico do dostopa, popravkov in brisanja osebnih podatkov, pravico do pridobitve podatkov, pravico ugovora oblikovanju profila, pravico do vložitve pritožbe pri pristojnem organu za varstvo podatkov in do začetka pravnega postopka ter pravico do nadomestila in odškodnine zaradi nezakonitega postopka obdelave. Te pravice se na splošno zagotavljajo brezplačno. Upravljavec podatkov se na zahtevo posameznika, na katerega se nanašajo osebni podatki, odzove v razumnem roku. [Sprememba 105]

POGLAVJE III

PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

ODDELEK 1

PREGLEDNOST IN NAČINI

Člen 11

Pregledne informacije in sporočila

1.  Upravljavec v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, uporablja natančne, pregledne, jasne in lahko dostopne politike.

2.  Upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in sporočila, povezane z obdelavo osebnih podatkov, zagotovi v razumljivi obliki ter jasnem in razumljivem jeziku, prilagojenem posamezniku, na katerega se nanašajo osebni podatki, kar velja zlasti za informacije, posebej namenjene otroku. [Sprememba 106]

Člen 12

Postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki

1.  Upravljavec določi postopke za zagotavljanje informacij iz člena 14 in za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, iz člena 13 in členov 15 do 19. Upravljavec zagotovi zlasti mehanizme za omogočanje zahtev za ukrepe iz člena 13 in členov 15 do 19. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, upravljavec zagotovi tudi sredstva za elektronsko vložitev zahtev, kjer je možno .

2.  Upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma brez nepotrebnega odlašanja in najpozneje v enem mesecu 40 koledarskih dneh po prejemu zahteve obvesti, ali je bil sprejet kakšen ukrep v skladu s členom 13 in členi 15 do 19, ter zagotovi zahtevane informacije. Ta rok se lahko podaljša za dodaten mesec, če pravice izvršuje več posameznikov, na katere se nanašajo osebni podatki, in je njihovo sodelovanje v razumni meri potrebno za preprečitev nepotrebnega in nesorazmernega napora s strani upravljavca. Informacije se predložijo v pisni obliki, kjer je možno, pa lahko upravljavec podatkov zagotovi dostop na daljavo do varnega sistema, ki posamezniku, na katerega se nanašajo osebni podatki, omogoča neposreden dostop do osebnih podatkov . Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije, kjer je možno, zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

3.  Če upravljavec zavrne ukrepanje ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o razlogih za zavrnitev neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in pravnih sredstvih.

4.  Informacije in ukrepi, sprejeti na podlagi zahtev iz odstavka 1, so brezplačni. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko upravljavec zaračuna razumno pristojbino za zagotavljanje , ki upošteva upravne stroške zagotavljanja informacij ali izvajanje izvajanja zahtevanih ukrepov ali pa ne izvede zahtevanega ukrepa . V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve upravljavec.

5.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za očitno čezmerne zahteve in pristojbine iz odstavka 4.

6.  Komisija lahko določi standardne obrazce in standardne postopke za sporočila iz odstavka 2, vključno z elektronsko obliko. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 107]

Člen 13

Pravice v zvezi s prejemniki Obveznost poročanja glede popravkov in izbrisov

Upravljavec vsakemu prejemniku, ki so mu podatki posredovani, sporoči morebitne popravke ali izbrise v skladu s členoma 16 in 17, razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o teh prejemnikih, če posameznik tako zahteva. [Sprememba 108]

Člen 13a

Standardizirani načini informiranja

1.  Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred zagotavljanjem informacij v skladu s členom 14 zagotovi informacije o tem:

(a)  ali se osebni podatki zbirajo v večjem obsegu, kot je nujno potrebno za posamezni namen obdelave;

(b)  ali se osebni podatki hranijo dlje, kot je nujno potrebno za posamezni namen obdelave;

(c)  ali se osebni podatki obdelujejo za namene, ki se razlikujejo od teh, za katere so bili zbrani;

(d)  ali se osebni podatki posredujejo komercialnim tretjim strankam;

(e)  ali so osebni podatki predani ali se oddajajo;

(f)  ali se osebni podatki hranijo v šifrirani obliki.

2.  Navedbe iz odstavka 1 so podane v skladu s Prilogo k tej uredbi v obliki poravnane tabele, z besedilom in znaki v sledečih treh stolpcih:

(a)  v prvem stolpcu so podani grafični znaki, ki povzemajo navedbe;

(b)  v drugem stolpcu so podane osnovne informacije o navedbah;

(c)  v tretjem stolpcu so podani grafični znaki, ki povedo, ali je določena navedba resnična.

3.  Informacije iz odstavkov 1 in 2 so predstavljene v jasno razvidni in berljivi obliki in v jeziku, ki ga potrošniki v državah članicah, katerim so informacije namenjene, brez težav razumejo. Če so navedbe podane v elektronski obliki, so strojno berljive.

4.  Dodatne informacije niso posredovane. Podrobne razlage ali dodatna pojasnila v zvezi s podatki iz odstavka 1 se lahko posredujejo skupaj z drugimi zahtevami glede informiranja v skladu s členom 14.

5.  Potem ko Evropski odbor za varstvo podatkov zaprosi za mnenje, se na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 86, s katerimi podrobneje določi podrobnosti iz odstavka 1 in njihovo predstavitev iz odstavka 2 in Priloge k tej uredbi. [Sprememba 109]

ODDELEK 2

INFORMACIJE IN DOSTOP DO PODATKOV

Člen 14

Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.  Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, potem ko se zagotovijo podatki v skladu s členom 13a, zagotovi vsaj naslednje :

(a)  informacije o identiteti upravljavca, njegovega predstavnika, če obstaja, in uradne osebe za varstvo podatkov ter njihove kontaktne podatke;

(b)  informacije o namenih obdelave osebnih podatkov, pa tudi o varnosti obdelave osebnih podatkov, vključno s splošnimi pogodbenimi pogoji, če obdelava temelji na točki (b) člena 6(1), in pravnih interesih, za katere si prizadeva upravljavec, če obdelava temelji na točki  po potrebi o načinu izvajanja in izpolnjevanja zahtev iz točke (f) člena 6(1);

(c)  informacije o roku shranjevanja hrambe osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja ;

(d)  informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov ali pridobitvi podatkov ;

(e)  informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(f)  informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov;

(g)  kjer je primerno, informacije o tem, da namerava upravljavec prenesti podatke v tretjo državo ali mednarodno organizacijo, in o ravni varstva, ki jo nudi ta tretja država ali mednarodna organizacija o obstoju oziroma neobstoju sklepa Komisije o ustreznosti ali, v primeru prenosov iz člena 42 ali 43, s sklicem na sklep Komisije o ustreznosti ustrezne zaščitne ukrepe in sredstva za pridobitev dvojnika ;

(ga)  po potrebi informacije o obstoju oblikovanja profilov, ukrepov, ki temeljijo na oblikovanju profilov in predvidenih učinkih oblikovanja profilov na posameznika, na katerega se nanašajo osebni podatki;

(gb)  smiselno razlago logike, ki velja za vsako samodejno obdelavo;

(h)  vse nadaljnje informacije, ki so potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se zbirajo ali obdelujejo osebni podatki. , zlasti o obstoju določenih obdelovalnih dejavnosti in operacij, za katere so ocene učinkov osebnih podatkov pokazale visoko raven tveganosti;

(ha)  po potrebi informacije o tem, ali so bili podatki posredovani javnim organom v zadnjem nepretrganem dvanajstmesečnem obdobju.

2.  Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali prostovoljna neobvezna, in o možnih posledicah, če se taki podatki ne zagotovijo.

2a.  Pri odločanju o nadaljnjih informacijah, potrebnih za pošteno obdelavo po točki (h) odstavka 1, morajo upravljavci upoštevati vsa zadevna navodila iz člena 34.

3.  Če se osebni podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, od kod ti določeni osebni podatki izvirajo. Če osebni podatki izvirajo iz javno dostopnih virov, se lahko da splošna navedba.

4.  Upravljavec zagotovi informacije iz odstavkov 1, 2 in 3:

(a)  ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki; , ali brez nepotrebnega odlašanja, kadar zgoraj navedeni ni izvedljivo, ali

(aa)  na zahtevo organa, organizacije ali združenja iz člena 73;

(b)  kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju ali, če je predvideno razkritje posredovanje drugemu prejemniku, najpozneje takrat, ko so se podatki prvič razkriti posredujejo , ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo ali kako drugače obdelajo. , ali če se bodo podatki uporabili za komuniciranje z zadevno osebo, najkasneje ob prvem komuniciranju s to osebo, ali

(ba)  samo na zahtevo, kadar podatke obdeluje malo ali mikropodjetje, za katero je obdelava podatkov zgolj dodatna dejavnost.

5.  Odstavki 1 do 4 se ne uporabljajo, kadar:

(a)  posameznik, na katerega se nanašajo osebni podatki, že ima informacije iz odstavkov 1, 2 in 3, ali

(b)  se podatki, ki so obdelani za zgodovinske, statistične ali znanstvenoraziskovalne namene, za katere veljajo pogoji in zaščitni ukrepi iz členov 81 in 83, se ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in se zagotavljanje takih informacij izkaže za nemogoče ali bi vključevalo nesorazmeren napor in je upravljavec javno objavil podatke , ali

(c)  se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in je beleženje ali razkritje izrecno določeno z zakonom, ki velja za upravljavca in ki določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, glede na tveganja, ki jih pomenita obdelava in narava osebnih podatkov, ali

(d)  se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, ter zagotavljanje takih informacij škoduje pravicam in svoboščinam drugih fizičnih oseb , kot je določeno v zakonodaji Unije ali zakonodaji držav članic v skladu s členom 21. ;

(da)  podatke prejme v obdelavo v okviru svoje poslovne dejavnosti, oziroma so zaupani ali posredovani v vednost osebi, za katero velja obveznost poklicne molčečnosti, ki jo ureja pravo Unije ali države članice, ali statutarna obveznost poklicne molčečnosti, razen če so podatki zbrani neposredno od posameznika, na katerega se obdelava osebnih podatkov nanaša.

6.  V primeru iz točke (b) odstavka 5 upravljavec zagotovi ustrezne ukrepe za zaščito pravnih pravic ali upravičenih interesov posameznika, na katerega se nanašajo osebni podatki.

7.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila glede vrst prejemnikov iz točke (f) odstavka 1, zahteve glede obvestila o morebitnem dostopu iz točke (g) odstavka 1, merila za nadaljnje informacije iz točke (h) odstavka 1, potrebne za določene sektorje in primere, ter pogoje in ustrezne zaščitne ukrepe za izjeme iz točke (b) odstavka 5. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja.

8.  Komisija lahko določi standardne obrazce za zagotavljanje informacij iz odstavkov 1 do 3, pri čemer po potrebi upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 110]

Člen 15

Pravica do dostopa in do pridobivanja podatkov za posameznika, na katerega se nanašajo osebni podatki

1.  Posameznik Ob upoštevanju člena 12(4) lahko posameznik , na katerega se nanašajo osebni podatki, lahko od upravljavca na zahtevo kadar koli pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če se taki osebni podatki obdelujejo, upravljavec zagotovi , ter naslednje informacije v jasnem in preprostem jeziku :

(a)  informacije o namenih obdelave za vsako vrsto osebnih podatkov ;

(b)  informacije o vrstah zadevnih osebnih podatkov;

(c)  informacije o prejemnikih ali vrstah prejemnikov , ki jim bodo ali so jim bili posredovani osebni podatki, zlasti vključno o prejemnikih v tretjih državah;

(d)  informacije o roku shranjevanja hranjenja osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja ;

(e)  informacije o obstoju pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(f)  informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)  sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom;

(h)  informacije o pomenu in predvidenih posledicah take obdelave, vsaj v primeru ukrepov iz člena 20. ;

(ha)  smiselno razlago logike, ki velja za vsako samodejno obdelavo;

(hb)  brez poseganja v člen 21, v primeru razkritja osebnih podatkov javnemu organu na zahtevo javnega organa, potrditev, da je bila podana taka zahteva.

2.  Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca pridobiti sporočilo o osebnih podatkih, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski in strukturirani obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki. Ne glede na člen 10 si upravljavec z vsemi primernimi ukrepi prizadeva preveriti, ali je oseba, ki zahteva dostop do podatkov, posameznik, na katerega se nanašajo osebni podatki.

2a.  Ko je posameznik, na katerega se nanašajo osebni podatki, posredoval osebne podatke in se osebni podatki obdelujejo z elektronskimi sredstvi, ima ta posameznik pravico, da od upravljavca zahteva kopijo posredovanih podatkov v elektronski in interoperabilni obliki v splošni rabi, ki omogoča nadaljnjo uporabo s strani posameznika, na katerega se nanašajo osebni podatki, ne da bi ga upravljavec ali obdelovalec podatkov, od katerega se ti podatki pridobijo, pri tem oviral. Če je to tehnično izvedljivo in je ta možnost na voljo, se podatki na zahtevo posameznika, na katerega se nanašajo osebni podatki, prenašajo neposredno od upravljavca do upravljavca.

2b.  Ta člen ne posega v obveznost izbrisa podatkov, ko niso več potrebni, v skladu s točko (e) člena 5(1).

2c.  Dostop v skladu z odstavkoma 1 in 2 ni dovoljen, kadar se nanaša na podatke v smislu točke (da) člena 14(5), razen če je oseba, na katero so nanašajo osebni podatki, pooblaščena, da odstrani njihovo tajnost in v zvezi s tem ustrezno ukrepa;

3.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obveščanje posameznika, na katerega se nanašajo osebni podatki, o vsebini osebnih podatkov iz točke (g) odstavka 1.

4.  Komisija lahko določi standardne obrazce in postopke za zahtevanje informacij in omogočanje dostopa do informacij iz odstavka 1, tudi za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki, in za sporočanje osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, pri čemer upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 111]

ODDELEK 3

POPRAVEK IN IZBRIS

Člen 16

Pravica do popravka

Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči popravek netočnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima pravico do dopolnitve nepopolnih osebnih podatkov, vključno z izjavo o popravku.

Člen 17

Pravica biti pozabljen in pravica do izbrisa

1.  Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim in opustitev nadaljnjega razširjanja takih podatkov, zlasti v zvezi z osebnimi podatki, ki so bili dani na voljo, ko je bil posameznik, na katerega se nanašajo osebni podatki, še otrok ter od tretjih oseb izbris vseh povezav do teh podatkov ali njihovih kopij , če velja eden od naslednjih razlogov:

(a)  podatki niso več potrebni zaradi namenov, za katere so bili zbrani ali kako drugače obdelani;

(b)  posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1), ali pa se je rok shranjevanja, v katerega je posameznik privolil, iztekel, in kadar ni nobenega pravnega razloga za obdelavo podatkov;

(c)  posameznik, na katerega se nanašajo osebni podatki, obdelavi osebnih podatkov ugovarja v skladu s členom 19;

(ca)  sodišče ali regulativni organ s sedežem v Uniji je pravnomočno in dokončno odločil, da je treba te podatke izbrisati;

(d)  obdelava podatkov ni v skladu s to uredbo iz drugih razlogov podatki so bili obdelani nezakonito .

1a.  Uporaba odstavka 1 je odvisna od zmožnosti upravljavca podatkov, da preveri, ali je oseba, ki zahteva izbris, posameznik, na katerega se nanašajo osebni podatki.

2.  Če upravljavec iz odstavka 1 objavi osebne podatke brez utemeljitve v skladu s členom 6(1) , sprejme v zvezi s podatki, za objavo katerih je odgovoren, vse primerne ukrepe, vključno s tehničnimi, da tretje osebe, ki te podatke obdelujejo, obvesti, da posameznik izbrišejo ter da jih izbrišejo tudi tretje strani, brez poseganja v člen 77. Kadar je to mogoče, upravljavec posameznika , na katerega se nanašajo osebni podatki, od njih zahteva, da izbrišejo morebitne povezave do teh osebnih podatkov ali kopije osebnih podatkov obvesti o ukrepu ustrezne tretje strani . Če upravljavec odobri objavo osebnih podatkov s strani tretje osebe, se šteje za odgovornega za to objavo.

3.  Upravljavec in po potrebi tretja stran izvede izbris nemudoma, razen če je hramba osebnih podatkov potrebna:

(a)  zaradi uveljavljanja pravice do svobode izražanja v skladu s členom 80;

(b)  zaradi javnega interesa na področju javnega zdravja v skladu s členom 81;

(c)  v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členom 83;

(d)  zaradi skladnosti s pravno obveznostjo glede hrambe osebnih podatkov na podlagi zakonodaje Unije ali zakonodaje držav članic, ki velja za upravljavca; zakonodaje držav članic izpolnjujejo cilj javnega interesa, spoštujejo bistveno vsebino pravice do varstva osebnih podatkov in so sorazmerne z zakonitim ciljem, za katerega si prizadevajo;

(e)  v primerih iz odstavka 4.

4.  Upravljavec namesto izbrisa obdelavo osebnih podatkov omeji tako, da do njih ni več mogoče normalno dostopati in jih obdelovati ter jih ni več mogoče spreminjati , kadar:

(a)  posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(b)  upravljavec osebnih podatkov ne potrebuje več za izpolnitev svoje naloge, vendar jih je treba ohraniti za namene dokazovanja;

(c)  je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe;

(ca)  je sodišče ali regulativni organ s sedežem v Uniji pravnomočno in dokončno odločil, da mora biti zadevna obdelava omejena;

(d)  posameznik, na katerega se nanašajo osebni podatki, zahteva prenos osebnih podatkov v drug sistem za samodejno obdelavo v skladu s členom 18(2). z odstavkom 2a člena 15;

(da)  posebna tehnologija za hrambo podatkov ne omogoča izbrisa in je bila nameščena pred začetkom veljavnosti te uredbe.

5.  Osebni podatki iz odstavka 4 se razen hrambe lahko obdelujejo samo za namene dokazovanja ali s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi cilja v javnem interesu.

6.  Če je obdelava osebnih podatkov omejena v skladu z odstavkom 4, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave.

7.  Upravljavec uvede mehanizme, s katerimi zagotovi, da se upoštevajo roki, določeni za izbris osebnih podatkov in/ali redno preverjanje potrebe po shranjevanju podatkov.

8.  Kadar se opravi izbris, upravljavec takih osebnih podatkov ne obdeluje na druge načine.

8a.  Upravljavec uvede mehanizme, s katerimi zagotovi, da se upoštevajo roki, določeni za izbris osebnih podatkov in/ali redno preverjanje potrebe po shranjevanju podatkov.

9.  Komisija je Na Komisijo se prenese pooblastilo, da potem ko Evropski odbor za varstvo podatkov zaprosi za mnenje, v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov sprejme delegirane akte , s katerimi podrobneje določi:

(a)  merila in zahteve za uporabo odstavka 1 za določene sektorje in v posebnih primerih obdelave podatkov;

(b)  pogoje za izbris povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz odstavka 2;

(c)  merila in pogoje za omejitev obdelave osebnih podatkov iz odstavka 4. [Sprememba 112]

Člen 18

Pravica do prenosljivosti podatkov

1.  Posameznik, na katerega se nanašajo osebni podatki, ima v primeru, ko se osebni podatki obdelujejo z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pravico, da od upravljavca zahteva kopijo podatkov, ki se obdelujejo, v elektronski in strukturirani obliki v splošni rabi, ki omogoča nadaljnjo uporabo s strani posameznika, na katerega se nanašajo osebni podatki.

2.  Kadar je posameznik, na katerega se nanašajo osebni podatki, zagotovil osebne podatke, obdelava pa poteka na podlagi privolitve ali pogodbe, ima ta posameznik pravico, da te osebne podatke in morebitne druge informacije, ki jih je zagotovil posameznik in shranil avtomatiziran sistem za obdelavo, v elektronski obliki v splošni rabi prenese v drug tak sistem, ne da bi ga pri tem oviral upravljavec, od katerega so osebni podatki pridobljeni.

3.  Komisija lahko določi elektronsko obliko iz odstavka 1 ter tehnične standarde, načine in postopke za prenos osebnih podatkov v skladu z odstavkom 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 113]

ODDELEK 4

PRAVICA DO UGOVORA IN OBLIKOVANJA PROFILOV

Člen 19

Pravica do ugovora

1.  Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov, ki temelji na točkah (d), in (e) in (f) člena 6(1), razen če upravljavec dokaže obstoj zakonitih in nujnih razlogov za obdelavo, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

2.  Če se osebni podatki obdelujejo zaradi neposrednega trženja obdelava osebnih podatkov temelji na točki (f) člena 6(1) , ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli in brez dodatne utemeljitve brezplačno ugovarja obdelavi njegovih osebnih podatkov nasploh ali za tako trženje kateri koli posamezni namen . Posameznika, na katerega se nanašajo osebni podatki, je treba o tej pravici izrecno poučiti na razumljiv način, ki se jasno razlikuje od drugih informacij.

2a.  Posameznika, na katerega se nanašajo osebni podatki, je treba o pravici iz odstavka 2 izrecno poučiti na razumljiv način in v razumljivi obliki ter v jasnem in preprostem jeziku, zlasti če je ta pouk posebej namenjen otroku, informacija o tej pravici pa mora biti jasno ločena od drugih informacij.

2b.  V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES, se lahko pravica do ugovora uveljavlja s samodejnimi sredstvi na podlagi tehničnega standarda, ki posamezniku, na katerega se nanašajo osebni podatki, omogoča, da jasno izrazi svoje želje.

3.  Če je podan ugovor v skladu z odstavkoma 1 in 2, upravljavec zadevnih osebnih podatkov ne sme več uporabljati ali kako drugače obdelovati za namene, določene v ugovoru . [Sprememba 114]

Člen 20

Ukrepi na podlagi oblikovanja Oblikovanje profilov

1.  Vsaka Ne glede na določbe člena 6 ima vsaka fizična oseba ima pravico, da ni predmet ukrepa, ki ima pravne učinke v zvezi s to fizično osebo ali nanjo znatno vpliva in ki temelji zgolj na samodejni obdelavi za namene ocene nekaterih osebnih vidikov v zvezi s to fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe ugovarja oblikovanju profila v skladu s členom 19 . Posameznika, na katerega se nanašajo osebni podatki, se na zelo opazen način pouči o pravici do ugovora oblikovanju profila.

2.  V skladu z drugimi določbami te uredbe je lahko oseba predmet ukrepa iz odstavka 1 oblikovanja profila, to pa vodi v ukrepe s pravnim učinkom za posameznika, na katerega se nanašajo osebni podatki, ali podobno bistveno zadevajo interese, pravice in svoboščine takega posameznika samo, če je obdelava:

(a)  izvedena med sklepanjem ali izvajanjem potrebna za sklepanje ali izvajanje pogodbe, kadar je zahteva po sklenitvi ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se nanašajo osebni podatki, izpolnjena ali kadar , če obstajajo ustrezni ukrepi za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, kot je pravica do človeškega posredovanja ; ali

(b)  izrecno dovoljena z zakonodajo Unije ali zakonodajo držav članic, ki določa tudi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(c)  utemeljena s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v skladu s pogoji iz člena 7 in ustreznimi zaščitnimi ukrepi.

3.  Samodejna obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ne sme temeljiti zgolj Prepovedano je oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi rase ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spolne usmerjenosti ali spolne identitete ali ki privede do ukrepov, ki imajo takšne posledice. Upravljavec mora izvrševati učinkovito zaščito pred morebitno diskriminacijo zaradi oblikovanja profilov. Oblikovanje profilov ne temelji izključno na posebnih vrstah osebnih podatkov iz člena 9.

4.  V primerih iz odstavka 2 informacije, ki jih zagotovi upravljavec v skladu s členom 14, obsegajo informacije o obstoju obdelave zaradi ukrepa iz odstavka 1 in predvidenih učinkih take obdelave na posameznika, na katerega se nanašajo osebni podatki.

5.  Oblikovanje profilov, ki vodi v ukrepe s pravnim učinkom za posameznika, na katerega se nanašajo osebni podatki, ali podobno bistveno zadevajo interese, pravice ali svoboščine takega posameznika, ne temeljijo izključno ali pretežno na samodejni obdelavi ter vključujejo človeško presojo, vključno z obrazložitvijo odločitve, sprejete po taki presoji. Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za ustrezne ukrepe Ukrepi, primerni za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, navedenih v odstavku 2 vključujejo pravico do človeške presoje in obrazložitve odločitve, sprejete po taki presoji .

5a.  Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) člena 66(1), s katerimi podrobneje določi merila in pogoje za oblikovanje profilov na podlagi odstavka 2. [Sprememba 115]

ODDELEK 5

OMEJITVE

Člen 21

Omejitve

1.  Zakonodaja Unije ali zakonodaja držav članic lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz točk (a) do (e) člena 5, členov 11 do 20 in 19 ter člena 32, če je kadar taka omejitev izpolnjuje jasno opredeljen cilj javnega interesa, spoštuje bistveno pravico do varstva osebnih podatkov, je sorazmerna z legitimnim ciljem, ki se poskuša uresničiti, ter spoštuje temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki, ter je nujen in sorazmeren ukrep v demokratični družbi:

(a)  za zaščito javne varnosti;

(b)  za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj;

(c)  za zaščito drugih javnih interesov Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami ter zaščito stabilnosti in celovitosti trga davčne zadeve ;

(d)  za preprečevanje, preiskovanje, odkrivanje in pregon kršitev etike za zakonsko urejene poklice;

(e)  za spremljanje, pregledovanje ali urejanje, povezano, četudi občasno, z izvajanjem v okviru izvajanja pristojne javne oblasti v primerih iz točk (a), (b) (c) in (d);

(f)  za zaščito posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2.  Vsak zakonodajni ukrep iz odstavka 1 mora biti nujen in sorazmeren ukrep v demokratični družbi ter vsebuje posebne določbe vsaj glede ciljev, za katere si je treba prizadevati pri obdelavi, in določitve upravljavca. :

(a)  ciljev, za katere si je treba prizadevati pri obdelavi;

(b)  določitve upravljavca;

(c)  posebnih namenov obdelave in sredstev za obdelavo;

(d)  zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)  pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi.

2a.  Zakonodajni ukrepi iz odstavka 1 zasebnim upravljavcem niti ne dovoljujejo niti jih ne obvezujejo, da hranijo dodatne podatke, poleg tistih, ki so nujno potrebni za prvotni namen. [Sprememba 116]

POGLAVJE IV

UPRAVLJAVEC IN OBDELOVALEC

ODDELEK 1

SPLOŠNE OBVEZNOSTI

Člen 22

Pristojnost in odgovornost upravljavca

1.  Upravljavec sprejme ustrezne politike in ter izvede ustrezne in dokazljive tehnične in organizacijske ukrepe, s katerimi zagotovi in lahko na pregledno dokaže, da se obdelava osebnih podatkov izvaja v skladu s to uredbo , ob upoštevanju doseženega razvoja tehnologije, narave obdelave osebnih podatkov, okoliščin, obsega in namenov take obdelave, tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter vrste organizacije, tako v času določanja sredstev za obdelavo kot v času obdelave same .

1a.  Upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja sprejme vse razumne ukrepe za izvajanje politik in postopkov za skladnost, ki trajno spoštujejo avtonomne odločitve posameznikov, na katere se nanašajo osebni podatki. Te politike za skladnost se vsaj na vsaki dve leti pregledajo in po potrebi posodobijo.

2.  Ukrepi iz odstavka 1 obsegajo zlasti:

(a)  hranjenje dokumentacije v skladu s členom 28;

(b)  izvajanje zahtev za varnost podatkov iz člena 30;

(c)  izvajanje ocene učinka o varstvu podatkov iz člena 33;

(d)  skladnost z zahtevami za predhodno odobritev ali predhodno posvetovanje z nadzornim organom v skladu s členom 34(1) in (2);

(e)  imenovanje uradne osebe za varstvo podatkov v skladu s členom 35(1).

3.  Upravljavec uporabi mehanizme za zagotovitev preverjanja učinkovitosti ukrepov je zmožen dokazati, da so ukrepi iz odstavkov 1 in 2 primerni in učinkoviti . Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji revizorji. Vsako redno splošno poročilo o dejavnostih upravljavca, kot so obvezna poročila delniških družb, vsebuje povzetek politik in ukrepov iz odstavka 1.

3a.  Upravljavec ima pravico, da v Uniji prenese osebne podatke znotraj povezane družbe, kateri upravljavec pripada, če je takšna obdelava nujna zaradi zakonitih notranjih upravnih razlogov in poteka med povezanimi poslovnimi področji povezane družbe ter če se z notranjimi določbami o varstvu podatkov ali enakovrednimi pravili ravnanja iz člena 38 zagotovi primerna raven varstva podatkov in interesov posameznikov, na katere se nanašajo osebni podatki.

4.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi dodatna merila in zahteve za ustrezne ukrepe iz odstavka 1, ki niso ukrepi, že navedeni v odstavku 2, pogoje glede mehanizmov za preverjanje in revizijo iz odstavka 3 ter glede meril za sorazmernost iz odstavka 3, ter posebne ukrepe za mikro-, mala in srednje velika podjetja. [Sprememba 117]

Člen 23

Vgrajeno in privzeto varstvo podatkov

1.  Upravljavec in morebitni obdelovalec ob upoštevanju doseženega razvoja tehnologije, trenutnih tehničnih spoznanj, najboljših mednarodnih praks in stroškov izvajanja tveganj, ki se pojavljajo pri obdelavi podatkov, v času določanja namena obdelave in sredstev za obdelavo in zanjo ter v času same obdelave izvede izvajata ustrezne in sorazmerne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam te uredbe in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti ob upoštevanju načel iz člena 5 . Vgrajeno varstvo podatkov še posebej upošteva upravljanje celotnega življenjskega cikla osebnih podatkov od njihovega zbiranja do obdelave in do izbrisa, pri čemer je sistematično osredotočeno na celovite postopkovne zaščitne ukrepe, kar zadeva natančnost, zaupnost, integriteto, fizično varnost in izbris osebnih podatkov. Če je upravljavec izvedel oceno učinka o varstvu podatkov v skladu s členom 33, se rezultati te ocene upoštevajo pri oblikovanju omenjenih ukrepov in postopkov.

1a.  Da bi se pospešilo njegovo vsesplošno izvajanje v različnih gospodarskih sektorjih, je vgrajeno varstvo podatkov osnovni pogoj za javne razpise v skladu z Direktivo 2004/18/ES Evropskega parlamenta in Sveta (16) ter z Direktivo 2004/17/ES Evropskega parlamenta in Sveta (direktiva za posebne sektorje) (17) .

2.  Upravljavec uporabi mehanizme za zagotovitev zagotovi , da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za vsak poseben posamezen namen obdelave, zlasti pa se ne smejo zbirati ali , hraniti ali širiti v večjem obsegu ali dalj časa večji meri , kot je za te namene nujno potrebno, kar velja tako za količino podatkov kot trajanje njihove hrambe. Ti mehanizmi zagotovijo zlasti, da osebni podatki privzeto niso dostopni nedoločenemu številu posameznikov in da lahko posamezniki, na katere se nanašajo osebni podatki, nadzorujejo razširjanje svojih osebnih podatkov .

3.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi določi dodatna merila in zahteve za ustrezne ukrepe in mehanizme iz odstavkov 1 in 2, zlasti zahteve glede vgrajenega varstva podatkov, ki veljajo za sektorje, proizvode in storitve.

4.  Komisija lahko za zahteve iz odstavkov 1 in 2 določi tehnične standarde. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 118]

Člen 24

Skupni upravljavci

Kadar upravljavec določi več upravljavcev skupaj določa namene, pogoje in sredstva obdelave osebnih podatkov skupaj z drugimi , skupni upravljavci z medsebojnim dogovorom določijo svoje naloge za izpolnitev obveznosti v skladu s to uredbo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki. Dogovor ustrezno odraža dejanske vloge posameznih upravljavcev in njihova razmerja do posameznikov, na katere se nanašajo osebni podatki, vsebina dogovora pa je dana na voljo posamezniku, na katerega se nanašajo osebni podatki. V primeru nejasnosti glede pristojnosti so upravljavci solidarno odgovorni. [Sprememba 119]

Člen 25

Predstavniki upravljavcev, ki nimajo sedeža v Uniji

1.  V primeru iz člena 3(2) upravljavec določi predstavnika v Uniji.

2.  Ta obveznost ne velja za:

(a)  upravljavca s sedežem v tretji državi, če Komisija sprejme sklep, da tretja država zagotavlja ustrezno raven varstva v skladu s členom 41; ali

(b)  podjetje upravljavca , ki zaposluje obdeluje osebne podatke, ki se nanašajo na manj kot 250 oseb 5000 posameznikov v katerem koli obdobju 12 zaporednih mesecev, in ki ne obdeluje posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah ; ali

(c)  javni organ; ali

(d)  upravljavca, ki samo občasno nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki stalno prebivajo , v Uniji, razen kadar gre za obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah .

3.  Predstavnik ima sedež v eni od držav članic, v kateri stalno prebivajo posamezniki katerih se nudi blago ali storitve posameznikom , na katere se nanašajo osebni podatki, ki se obdelujejo v zvezi z nudenjem blaga ali storitev tem posameznikom, ali katerih vedenje se spremlja ali kjer se jih nadzoruje .

4.  Določitev predstavnika s strani upravljavca ne vpliva na pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca. [Sprememba 120]

Člen 26

Obdelovalec

1.  Kadar se postopek obdelave obdelava izvaja v imenu upravljavca, upravljavec izbere obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam te uredbe in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba izvesti, ter zagotovi skladnost s temi ukrepi.

2.  Izvajanje obdelave s strani obdelovalca ureja pogodba ali pravni akt, ki določa obveznosti obdelovalca do upravljavca. Upravljavec in obdelovalec prosto določata svoje vloge in naloge v skladu z zahtevami te uredbe ter zagotavljata , predvsem da obdelovalec:

(a)  deluje obdeluje osebne podatke samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan razen če zakonodaja Unije ali zakonodaja države članice zahteva drugače ;

(b)  zaposluje samo osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;

(c)  izvede vse potrebne ukrepe iz člena 30;

(d)  zaposli določi pogoje za zaposlitev drugega obdelovalca samo s predhodnim dovoljenjem upravljavca, razen če je določeno drugače ;

(e)  kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem oblikuje potrebne primerne in ustrezne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)  upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 30 do 34 ob upoštevanju narave obdelave in obdelovalcu dostopnih informacij ;

(g)  po končani obdelavi upravljavcu preda vrne vse rezultate in , ne obdeluje osebnih podatkov na druge načine ter uniči obstoječe kopije, razen če zakonodaja Unije ali države članice predpisuje njihovo hrambo ;

(h)  da upravljavcu in nadzornemu organu na voljo vse potrebne informacije, potrebne za nadzor nad izpolnjevanjem da se dokaže izpolnjevanje obveznosti iz tega člena, in omogoča inšpekcije na kraju samem .

3.  Upravljavec in obdelovalec pisno dokumentirata navodila upravljavca in obveznosti obdelovalca iz odstavka 2.

3a.  Zadostna jamstva iz odstavka 1 se lahko dokažejo z upoštevanjem pravil ravnanja ali mehanizmov potrjevanja v skladu s členom 38 ali 39 te uredbe.

4.  Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, ali postane odločilna stranka v zvezi z namenom in sredstvi obdelave podatkov, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 24.

5.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za odgovornosti, dolžnosti in naloge v zvezi z obdelovalcem v skladu z odstavkom 1 ter pogoje, ki zlasti za namene nadzora in poročanja omogočajo olajšanje obdelave osebnih podatkov v povezanem podjetju. [Sprememba 121]

Člen 27

Obdelava pod vodstvom upravljavca in obdelovalca

Obdelovalec in vsaka oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, osebnih podatkov ne sme obdelati brez navodil upravljavca, razen če to zahteva zakonodaja Unije ali zakonodaja držav članic.

Člen 28

Dokumentacija

1.  Vsak upravljavec, in obdelovalec in predstavnik upravljavca, če obstaja, ohrani hrani dokumentacijo vseh postopkov obdelave v okviru svoje pristojnosti , potrebno za izpolnitev zahtev iz te uredbe, ter jo redno posodablja .

2.  Dokumentacija Vsak upravljavec in obdelovalec poleg tega hrani dokumentacijo, ki vsebuje vsaj naslednje informacije o:

(a)  imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in predstavnika, če ta obstaja, in njihove kontaktne podatke;

(b)  imenu uradnika za varstvo podatkov, če ta obstaja, in njegove kontaktne podatke;

(c)  namenih obdelave, vključno s pravnimi interesi, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

(d)  opisu vrst posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov v zvezi z njimi;

(e)  prejemnikih ali vrstah prejemnikov osebnih podatkov, vključno z upravljavci imenu morebitnih upravljavcev , ki se jim osebni podatki razkrijejo zaradi pravnih interesov, za katere si prizadevajo , in njihovih kontaktnih podatkih ;

(f)  po potrebi o prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz točke (h) člena 44(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(g)  splošni navedbi rokov za izbris različnih vrst podatkov;

(h)  opisu mehanizmov iz člena 22(3).

3.  Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do dokumentacije.

4.  Obveznosti iz odstavkov 1 in 2 ne veljajo za naslednje upravljavce in obdelovalce:

(a)  fizično osebo, ki osebne podatke obdeluje brez komercialnega interesa, ali

(b)  podjetje ali organizacijo, ki zaposluje manj kot 250 oseb in v katerem/kateri je obdelava osebnih podatkov samo postranska dejavnost.

5.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za dokumentacijo iz odstavka 1, ki upoštevajo zlasti pristojnosti upravljavca, obdelovalca in predstavnika upravljavca, če ta obstaja.

6.  Komisija lahko določi standardne obrazce za dokumentacijo iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 122]

Člen 29

Sodelovanje z nadzornim organom

1.  Upravljavec, ter obdelovalec in predstavnik upravljavca, če ta obstaja obstajata , pri opravljanju svojih nalog na zahtevo sodelujejo z nadzornim organom, zlasti z zagotavljanjem informacij iz točke (a) člena 53(2) in omogočanjem dostopa, kakor je določeno v točki (b) navedenega člena.

2.  Kot odziv na izvajanje pooblastil nadzornega organa iz člena 53(2) upravljavec in obdelovalec nadzornemu organu odgovorita v primernem roku, ki ga določi nadzorni organ. Odgovor vsebuje opis sprejetih ukrepov in doseženih rezultatov kot odziv na pripombe nadzornega organa. [Sprememba 123]

ODDELEK 2

VARNOST PODATKOV

Člen 30

Varnost obdelave

1.  Upravljavec in obdelovalec izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomenita pomeni obdelava in narava osebnih podatkov, ki jih je treba varovati , pri čemer se upoštevajo rezultati ocene učinka na varstvo podatkov v skladu s členom 33 ter doseženi razvoj tehnologije in stroški za njihovo izvajanje teh ukrepov .

1a.  Taka varnostna politika ob upoštevanju najnovejše tehnologije in stroškov izvajanja vključuje:

(a)  zmožnost zagotoviti potrditev celovitosti osebnih podatkov;

(b)  zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo osebnih podatkov;

(c)  zmožnost pravočasno povrniti razpoložljivost in dostopnost podatkov v primeru fizičnega ali tehničnega incidenta, ki vpliva na razpoložljivost, celovitost in zaupnost informacijskih sistemov in storitev;

(d)  pri obdelavi občutljivih osebnih podatkov v skladu s členoma 8 in 9 dodatne varnostne ukrepe za zagotovitev spremljanja nevarnosti in zmožnosti za preventivno, korektivno in blažilno ukrepanje v skoraj realnem času v primeru, ko se odkrijejo šibke točke ali incidenti, ki bi lahko predstavljali nevarnost za podatke;

(e)  postopek rednega testiranja, ocenjevanja in evalvacije učinkovitosti varnostnih politik, postopkov in načrtov, uveljavljenih za zagotovitev stalnega delovanja.

2.  Upravljavec in obdelovalec po oceni tveganj izvedeta ukrepe Z ukrepi iz odstavka 1, da bi osebne podatke zaščitila pred naključnim ali nezakonitim uničenjem ali naključno izgubo ter preprečila morebitne nezakonite oblike obdelave, zlasti nepooblaščeno razkritje, širjenje ali dostop do osebnih podatkov oziroma njihovo predelavo. se vsaj:

(a)  zagotovi, da lahko do osebnih podatkov dostopa samo pooblaščeno osebje za zakonsko odobrene namene;

(b)  zaščitijo shranjeni ali posredovani osebni podatki pred nenamernim ali nezakonitim uničenjem, nenamerno izgubo ali spremembo ter nepooblaščeno ali nezakonito hrambo, obdelavo, dostopom ali razkritjem; ter

(c)  zagotovi izvajanje varnostne politike za obdelavo osebnih podatkov.

3.  Komisija Evropski odbor za varstvo podatkov je pristojen, da izda smernice, priporočila in primere najboljše prakse v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi vključno z opredelitvijo pojma „doseženi razvoj tehnologije“ podrobneje določi merila in pogoje točko (b) člena 66(1) za tehnične in organizacijske ukrepe iz odstavkov 1 in 2, vključno z opredelitvijo pojma „doseženi razvoj tehnologije“, za določene sektorje in v posebnih primerih obdelave podatkov, zlasti ob upoštevanju razvoja tehnologije in rešitev za vgrajeno zasebnost in vgrajeno privzeto varstvo podatkov, razen če velja odstavek 4 .

4.  Komisija lahko po potrebi sprejme izvedbene akte, s katerimi podrobneje določi zahteve iz odstavkov 1 in 2 za določene primere, zlasti da:

(a)  prepreči morebiten nepooblaščen dostop do osebnih podatkov;

(b)  prepreči morebitno nepooblaščeno razkritje, branje, kopiranje, spreminjanje, izbris ali odstranitev osebnih podatkov;

(c)  zagotovi preverjanje zakonitosti postopkov obdelave.

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 124]

Člen 31

Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov

1.  Upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma, po možnosti najpozneje v 24 urah po odkritju kršitve, brez nepotrebnega odlašanja obvesti nadzorni organ. Upravljavec nadzornemu organu predloži primerno utemeljitev v primerih, kadar nadzorni organ ni bil obveščen v 24 urah.

2.  Obdelovalec v skladu s točko (f) člena 26(2) takoj po odkritju ugotovitvi kršitve varnosti osebnih podatkov brez nepotrebnega odlašanja na to opozori in o tem obvesti upravljavca.

3.  Obvestilo iz odstavka 1 vsebuje vsaj:

(a)  opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(b)  sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov ali druge kontaktne točke, pri katerih je mogoče pridobiti več informacij;

(c)  priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(d)  opis posledic kršitve varnosti osebnih podatkov;

(e)  opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov in ublažitev posledic take kršitve .

Po potrebi se lahko informacije o tem podajo v več korakih.

4.  Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora biti zadostna, da nadzornemu organu omogočati, da preveri skladnost omogoči preverjanje skladnosti s tem členom in členom 30 . Dokumentacija vključuje samo informacije, potrebne za ta namen.

4a.  Nadzorni organ vodi javni register o vrstah prijavljenih kršitev.

5.  Komisija je Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve točko (b) člena 66(1) za ugotavljanje kršitve varnosti osebnih podatkov in določitev pomena izraza „nepotrebno odlašanje“ iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.

6.  Komisija lahko določi standardno obliko takega obvestila nadzornemu organu, postopke, ki se uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz odstavka 4, vključno z roki za izbris informacij iz dokumentacije. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 125]

Člen 32

Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.  Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali , zasebnost, pravice ali upravičene interese posameznika, na katerega se nanašajo osebni podatki, upravljavec po predložitvi obvestila iz člena 31 posamezniku, na katerega se nanašajo osebni podatki, nemudoma brez nepotrebnega odlašanja pošlje sporočilo o kršitvi varnosti osebnih podatkov.

2.  Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 opisuje je razumljivo ter je napisano v jasnem in preprostem jeziku. Opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b) in , (c) in (d) člena 31(3) in informacije o pravicah posameznika, na katerega se nanašajo osebni podatki, tudi o pravnem varstvu .

3.  Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če upravljavec nadzornemu organu zadovoljivo dokaže, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.

4.  Brez poseganja v obveznost upravljavca, da o kršitvi varnosti osebnih podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, lahko v primeru, če upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi varnosti osebnih podatkov, to od njega zahteva nadzorni organ po proučitvi morebitnih škodljivih učinkov kršitve.

5.  Komisija je Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve točko (b) člena 66(1) glede okoliščin, v katerih je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na osebne podatke, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki, iz odstavka 1.

6.  Komisija lahko določi obliko sporočila posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 in postopke, ki se uporabljajo za to sporočilo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 126]

Člen 32a

Analiza tveganja

1.  Upravljavec ali obdelovalec, če ta obstaja, opravi analizo tveganj morebitnega učinka predvidene obdelave podatkov na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter oceni, ali njegovi postopki obdelave predstavljajo posebno tveganje.

2.  Tako tveganje predstavljajo naslednji postopki obdelave:

(a)  obdelava osebnih podatkov, ki se nanašajo na več kot 5000 posameznikov v katerem koli zaporednem 12-mesečnem obdobju;

(b)  obdelava posebnih vrst osebnih podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah;

(c)  oblikovanje profilov, na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali podobno nanj znatno vplivajo;

(d)  obdelava osebnih podatkov za namene zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

(e)  avtomatsko spremljanje javno dostopnih območij v velikem obsegu;

(f)  drugi postopki obdelave, za katere se zahteva posvetovanje z uradno osebo za varstvo podatkov ali nadzornim organom v skladu s točko (b) člena 34(2);

(g)  kadar je verjetno, da bi kršitev varnosti osebnih podatkov škodljivo vplivala na varstvo osebnih podatkov, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki;

(h)  temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati;

(i)  kadar se dostop do osebnih podatkov omogoči večjemu številu oseb, ki ga ni mogoče smiselno omejiti.

3.  V skladu z rezultati analize tveganja:

(a)  če obstaja kateri koli postopek obdelave iz točk (a) in (b) odstavka 2, upravljavci, ki nimajo sedeža v Uniji, določijo predstavnika v Uniji v skladu z zahtevami in izjemami iz člena 25;

(b)  če obstaja kateri koli postopek obdelave iz točke (a), (b) ali (h) odstavka 2, upravljavec imenuje uradno osebo za varstvo podatkov v skladu z zahtevami in izjemami iz člena 35;

(c)  če obstaja kateri koli postopek obdelave iz točke (a), (b), (c), (d), (e), (f), (g) ali (h) odstavka 2, upravljavec ali obdelovalec, ki deluje v imenu upravljavca, opravi oceno učinka o varstvu podatkov v skladu s členom 33;

(d)  če obstajajo postopki obdelave iz točke (f) odstavka 2, se upravljavec posvetuje z uradno osebo za varstvo podatkov, ali če taka oseba ni bila imenovana, nadzorni organ v skladu s členom 34.

4.  Analiza tveganja se pregleda najkasneje po enem letu ali nemudoma, če se narava, področje uporabe ali namen postopkov obdelave osebnih podatkov bistveno spremenijo. Kadar v skladu s točko (c) odstavka 3 upravljavec ni obvezan, da opravi oceno učinka o varstvu podatkov, se analiza tveganja dokumentira. [Sprememba 127]

ODDELEK 3

OCENA UČINKA O VARSTVU UPRAVLJANJE ŽIVLJENSKEGA CIKLA PODATKOV IN PREDHODNA ODOBRITEV [Sprememba 128]

Člen 33

Ocena učinka o varstvu podatkov

1.  Kadar postopki obdelave zaradi svoje narave, obsega ali namenov predstavljajo posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki se to zahteva v skladu s točko (c) člena 32a(3) , upravljavec ali obdelovalec v imenu upravljavca izvede oceno učinka predvidenih postopkov obdelave na varstvo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti na njihovo pravico do varstva osebnih podatkov. Za obravnavanje niza podobnih postopkov obdelave, ki predstavljajo podobna tveganja, zadostuje ena ocena.

2.  Posebne nevarnosti iz odstavka 1 predstavljajo zlasti naslednji postopki obdelave:

(a)  sistematično in obsežno vrednotenje osebnih vidikov v zvezi s fizično osebo ali za analiziranje oziroma predvidevanje zlasti ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe, ki temelji na samodejni obdelavi in na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali nanj znatno vplivajo;

(b)  informacije o spolnem življenju, zdravju, rasnem in etničnem izvoru ali zaradi nudenja zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

(c)  spremljanje javno dostopnih območij, zlasti z uporabo optično-elektronskih naprav (video nadzor) v velikem obsegu;

(d)  osebni podatki v obsežnih zbirkah, ki se nanašajo na otroke, genetske podatke ali biometrične podatke;

(e)  drugi postopki obdelave, za katere se zahteva posvetovanje z nadzornim organom v skladu s točko (b) člena 34(2).

3.  Ocena obsega vsaj splošni opis predvidenih postopkov obdelave, oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb upravljanje celotnega življenjskega cikla osebnih podatkov, od zbiranja prek obdelave pa do izbrisa . Zajema vsaj:

(a)  sistematičen opis predvidenih postopkov obdelave, namenov obdelave in po potrebi pravnih interesov, za katere si prizadeva upravljavec;

(b)  oceno nujnosti in sorazmernosti postopkov obdelave glede na njihov namen;

(c)  oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, vključno s tveganjem diskriminacije, ki ga postopek vsebuje ali krepi;

(d)  opis ukrepov, predvidenih za obravnavo tveganj in zmanjšanje obsega osebnih podatkov, ki se obdelujejo, na najmanjšo možno mero;

(e)  seznam zaščitnih ukrepov, varnostnih ukrepov ter mehanizmov za zagotavljanje varstva osebnih podatkov, kot je psevdonimizacija, in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva;

(f)  splošno navedbo rokov za izbris različnih vrst podatkov;

(g)  podatke o tem, kateri postopki vgrajenega in privzetega varstva podatkov po členu 23 se izvršujejo;

(h)  seznam prejemnikov ali vrst prejemnikov osebnih podatkov;

(i)  po potrebi seznam predvidenih prenosov podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije;

(j)  oceno okoliščin obdelave podatkov.

3a.  Če je upravljavec ali obdelovalec imenoval uradno osebo za varstvo podatkov, je ta vključena v postopek ocene učinka.

3b.  Ocena se dokumentira in določi se časovni načrt za redne periodične preglede spoštovanja varstva osebnih podatkov v skladu s členom 33a(1). Če pregled spoštovanja varstva osebnih podatkov iz člena 33a pokaže nedoslednosti pri spoštovanju, se ocena brez nepotrebnega odlašanja posodobi. Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do ocene.

4.  Upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost postopkov obdelave.

5.  Kadar je upravljavec javni organ in kadar obdelava izhaja iz pravne obveznosti v skladu s točko (c) člena 6(1), ki določa pravila in postopke v zvezi z dejavnostmi obdelave, ki jih ureja pravo Unije, se odstavki 1 do 4 ne uporabljajo, razen če država članica meni, da je treba tako oceno izvesti pred začetkom postopkov obdelave.

6.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za postopke obdelave, ki bodo verjetno predstavljali posebne nevarnosti iz odstavkov 1 in 2, ter zahteve za oceno iz odstavka 3, vključno s pogoji za nadgradljivost, preverjanje in možnost revizije. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

7.  Komisija lahko določi standarde in postopke za izvajanje, preverjanje in revizijo ocene iz odstavka 3. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 129]

Člen 33a

Pregled spoštovanja varstva podatkov

1.  Najkasneje dve leti po opravljeni oceni učinka po členu 33(1), upravljavec ali obdelovalec v imenu upravljavca izvede pregled spoštovanja. Tak pregled pokaže, da se obdelava osebnih podatkov opravlja v skladu z oceno učinka o varstvu podatkov.

2.  Pregled spoštovanja se opravi redno najmanj vsaki dve leti ali takoj, ko se spremenijo posebna tveganja, ki jih predstavljajo postopki obdelave.

3.  Če izid pregleda spoštovanja pokaže nedoslednosti, pregled vključuje tudi priporočila o tem, kako doseči popolno spoštovanje.

4.  Pregled spoštovanja in priporočila se dokumentirajo. Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do pregleda.

5.  Če je upravljavec ali obdelovalec imenoval uradno osebo za varstvo podatkov, je ta vključena v postopek pregleda spoštovanja. [Sprememba 130]

Člen 34

Predhodna odobritev in predhodno Predhodno posvetovanje

1.  Upravljavec oziroma obdelovalec pred obdelavo osebnih podatkov od nadzornega organa pridobita odobritev, da zagotovita skladnost predvidene obdelave s to uredbo in zlasti ublažita nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar upravljavec ali obdelovalec sprejme pogodbene določbe iz točke (d) člena 42(2) ali ne zagotovi ustreznih zaščitnih ukrepov v pravno zavezujočem aktu iz člena 42(5) za prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo.

2.  Upravljavec ali obdelovalec, ki deluje v imenu upravljavca, se pred obdelavo osebnih podatkov posvetuje z uradno osebo za varstvo podatkov ali z nadzornim organom, če uradna oseba za varstvo podatkov ni bila imenovana, da zagotovi skladnost predvidene obdelave s to uredbo in zlasti ublaži nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar:

(a)  ocena učinka o varstvu podatkov iz člena 33 kaže, da zaradi svoje narave, obsega ali namenov postopki obdelave verjetno predstavljajo visoko raven posebnih nevarnosti; ali

(b)  je po mnenju uradne osebe za varstvo podatkov ali nadzornega organa potrebno predhodno posvetovanje o postopkih obdelave, ki bodo zaradi svoje narave, obsega in/ali namenov verjetno predstavljali posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in postopkih obdelave, določenih v skladu z odstavkom 4.

3.  Kadar pristojni nadzorni organ meni v skladu s svojimi pooblastili ugotovi , da predvidena obdelava ni v skladu s to uredbo, zlasti kadar nevarnosti niso ustrezno opredeljene ali ublažene, predvideno obdelavo prepove in poda ustrezne predloge za ureditev take neskladnosti.

4.  Nadzorni organ Evropski odbor za varstvo podatkov določi in javno objavi seznam postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s točko (b) odstavka z odstavkom  2. Nadzorni organ te sezname posreduje Evropskemu odboru za varstvo podatkov.

5.  Kadar seznam iz odstavka 4 obsega postopke obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem njihovega vedenja ali ki lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji, nadzorni organ pred sprejetjem seznama uporabi mehanizem za skladnost iz člena 57.

6.  Upravljavec ali obdelovalec nadzornemu organu na njegovo zahtevo predloži oceno učinka o varstvu podatkov iz člena  v skladu s členom 33, ter na zahtevo pa tudi druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

7.  Države članice se pri pripravi zakonodajnega ukrepa, ki bo sprejet v nacionalnem parlamentu, ali ukrepa na podlagi takega zakonodajnega ukrepa, ki določa naravo obdelave, posvetujejo z nadzornim organom in tako zagotovijo skladnost predvidene obdelave s to uredbo ter zlasti ublažijo nevarnosti za posameznike, na katere se nanašajo osebni podatki.

8.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za določanje visoke ravni posebnih nevarnosti iz točke (a) odstavka 2.

9.  Komisija lahko določi standardne obrazce in postopke za predhodne odobritve in posvetovanja iz odstavkov 1 in 2 ter standardne obrazce in postopke za obveščanje nadzornih organov v skladu s členom 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 131]

ODDELEK 4

URADNA OSEBA ZA VARSTVO PODATKOV

Člen 35

Imenovanje uradne osebe za varstvo podatkov

1.  Upravljavec in obdelovalec imenujeta uradno osebo za varstvo podatkov v vsakem primeru, kadar:

(a)  obdelavo izvaja javni organ; ali

(b)  obdelavo izvaja podjetje , ki zaposluje 250 oseb ali v katerem koli 12-mesečnem obdobju obsega več kot 5000 posameznikov, na katere se nanašajo osebni podatki, izvaja pravna oseba ; ali

(c)  temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati. ; ali

(d)  temeljne dejavnosti upravljavca ali obdelovalca obsegajo obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah.

2.  V primeru iz točke (b) odstavka 1 lahko povezana Povezana družba lahko imenuje eno samo glavno odgovorno uradno osebo za varstvo podatkov, če se zagotovi, da je uradna oseba za varstvo podatkov lahko dostopna iz vsake enote .

3.  Kadar je upravljavec ali obdelovalec javni organ, je lahko uradna oseba za varstvo podatkov ob upoštevanju organizacijske strukture javnega organa imenovana za več njegovih subjektov.

4.  V primerih, ki niso navedeni v odstavku 1, lahko upravljavec ali obdelovalec ali združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev, imenujejo uradno osebo za varstvo podatkov.

5.  Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za opravljanje nalog iz člena 37. Stopnja potrebnega strokovnega znanja se določi zlasti v skladu z izvedeno obdelavo podatkov in varstvom, ki ga zahtevajo osebni podatki, obdelani s strani upravljavca ali obdelovalca.

6.  Upravljavec ali obdelovalec zagotovi, da so vse ostale poklicne dolžnosti uradne osebe za varstvo podatkov združljive z nalogami in dolžnostmi osebe kot uradne osebe za varstvo podatkov ter da zaradi tega ne pride do nasprotja interesov.

7.  Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje za obdobje vsaj štirih let, če gre za osebo, zaposleno pri njem, ali vsaj dveh let, če gre za zunanjega izvajalca storitev . Uradna oseba za varstvo podatkov se lahko ponovno imenuje za nadaljnja obdobja. Med svojim mandatom je lahko uradna oseba za varstvo podatkov razrešena samo, če več ne izpolnjuje pogojev, zahtevanih za opravljanje njegovih njenih nalog.

8.  Uradna oseba za varstvo podatkov je lahko zaposlena pri upravljavcu ali obdelovalcu, ali pa svoje naloge opravlja na podlagi pogodbe o storitvah.

9.  Upravljavec ali obdelovalec sporoči ime in kontaktne podatke uradne osebe za varstvo podatkov nadzornemu organu in javnosti.

10.  Posamezniki, na katere se nanašajo osebni podatki, lahko z uradno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in zahtevajo uveljavljanje pravic na podlagi te uredbe.

11.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za temeljne dejavnosti upravljavca ali obdelovalca iz točke (c) odstavka 1 ter merila za strokovne odlike uradne osebe za varstvo podatkov iz odstavka 5. [Sprememba 132]

Člen 36

Položaj uradne osebe za varstvo podatkov

1.  Upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.  Upravljavec ali obdelovalec zagotovi, da uradna oseba za varstvo podatkov dolžnosti in naloge opravlja neodvisno in ne prejema nobenih navodil v zvezi z opravljanjem funkcije. Uradna oseba za varstvo podatkov neposredno poroča upravi poslovodstvu upravljavca ali obdelovalca. Upravljavec ali obdelovalec v ta namen imenuje člana poslovodstva, ki bo odgovoren za ravnanje v skladu z določbami te uredbe.

3.  Upravljavec ali obdelovalec uradni osebi za varstvo podatkov pomaga pri opravljanju njenih nalog ter zagotovi osebje, prostore, vsa sredstva, vključno z osebjem, prostori, opremo in vsa druga sredstva vsemi drugimi sredstvi , ki jih potrebuje za opravljanje dolžnosti in nalog iz člena 37 ter za ohranjanje svojega strokovnega znanja .

4.  Uradne osebe za varstvo podatkov morajo identiteto posameznikov, na katere se nanašajo osebni podatki, in okoliščine, ki omogočajo njihovo identifikacijo, varovati kot skrivnost, razen če jih zadevni posameznik te obveznosti razreši. [Sprememba 133]

Člen 37

Naloge uradne osebe za varstvo podatkov

1.  Upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a)  ozaveščanje, obveščanje upravljavca ali obdelovalca in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu s to uredbo, zlasti glede tehničnih in organizacijskih ukrepov in postopkov, ter dokumentiranje te dejavnosti in prejetih odgovorov;

(b)  spremljanje izvajanja in uporabe politik upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(c)  spremljanje izvajanja in uporabe te uredbe, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi te uredbe;

(d)  zagotavljanje ohranjanja dokumentacije iz člena 28;

(e)  spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 31 in 32;

(f)  spremljanje izvajanja ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in uporabe predhodne odobritve ali predhodnega posvetovanja, če se to zahteva v skladu s členoma  členi 32a, 33 in 34;

(g)  spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na pobudo uradne osebe za varstvo podatkov;

(h)  delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno. ;

(i)  preverjanje skladnosti s to uredbo v okviru mehanizma predhodnega posvetovanja iz člena 34;

(j)  obveščanje predstavnikov zaposlenih o obdelavi podatkov zaposlenih.

2.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede nalog, potrjevanja, položaja, pooblastil in sredstev uradne osebe za varstvo podatkov iz odstavka 1. [Sprememba 134]

ODDELEK 5

PRAVILA RAVNANJA IN POTRJEVANJE

Člen 38

Pravila ravnanja

1.  Države članice, nadzorni organi in Komisija spodbujajo pripravljanje pravil ravnanja, ali sprejetje pravil ravnanja, ki bi jih sestavil nadzorni organ, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo podatkov, zlasti v zvezi s:

(a)  pošteno in pregledno obdelavo podatkov;

(aa)  spoštovanjem pravic potrošnikov;

(b)  zbiranjem podatkov;

(c)  obveščanjem javnosti in posameznikov, na katere se nanašajo osebni podatki;

(d)  zahtevami posameznikov, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic;

(e)  obveščanjem in zaščito otrok;

(f)  prenosi podatkov v tretje države ali mednarodne organizacije;

(g)  mehanizmi za spremljanje in zagotavljanje skladnosti s pravili s strani upravljavcev, za katere ta pravila veljajo;

(h)  izvensodnimi postopki in drugimi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 73 in 75.

2.  Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v eni državi članici in nameravajo pripraviti pravila ravnanja oziroma spremeniti ali razširiti veljavna pravila ravnanja, lahko ta pravila predložijo v presojo nadzornemu organu v tej državi članici. Nadzorni organ lahko brez nepotrebnega odlašanja poda mnenje, ali je osnutek obdelava iz osnutka pravil ravnanja ali sprememba iz spremembe teh pravil v skladu s to uredbo. Nadzorni organ za mnenje o teh osnutkih zaprosi posameznike, na katere se nanašajo osebni podatki, ali njihove predstavnike.

3.  Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v več državah članicah, lahko osnutke pravil ravnanja in spremembe ali razširitve veljavnih pravil ravnanja predložijo Komisiji.

4.  Komisija lahko sprejme izvedbene akte je, po tem, ko je zaprosila Evropski odbor za varstvo podatkov za mnenje, v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov , s katerimi sklene, da so pravila ravnanja in spremembe ali razširitve veljavnih pravil ravnanja, ki so ji bile predložene v skladu z odstavkom 3, v skladu s to uredbo in so v Uniji splošno veljavne. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). Ti delegirani akti podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki.

5.  Komisija zagotovi ustrezno objavo pravil ravnanja, za katera je v skladu z odstavkom 4 sklenila, da so splošno veljavna. [Sprememba 135]

Člen 39

Potrjevanje

1.  Države članice in Komisija zlasti na evropski ravni spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov, ki posameznikom, na katere se nanašajo osebni podatki, omogočijo, da hitro ocenijo raven varstva podatkov, ki jo zagotavljajo upravljavci in obdelovalci. Mehanizmi potrjevanja za varstvo podatkov prispevajo k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev in postopkov obdelave.

1a.  Vsak upravljavec ali obdelovalec lahko od katerega koli nadzornega organa v Uniji v zameno za razumno pristojbino, v katero so všteti upravni stroški, zahteva potrdilo, da obdelava osebnih podatkov poteka v skladu s to uredbo, zlasti z načeli iz členov 5, 23 in 30, obveznostmi upravljavca in obdelovalca ter pravicami posameznika, na katerega se nanašajo osebni podatki.

1b.  Potrjevanje je prostovoljno in cenovno dostopno ter se zagotavlja v okviru postopka, ki je pregleden in ni nepotrebno obremenjujoč.

1c.  Nadzorni organi in Evropski odbor za varstvo podatkov sodelujejo v okviru mehanizma za skladnost po členu 57, da bi zagotovili usklajen mehanizem potrjevanja za varstvo podatkov, vključno z uskladitvijo pristojbin v Uniji.

1d.  Nadzorni organi lahko med postopkom potrjevanja pooblastijo specializirane zunanje revizorje, da opravijo revizijo upravljavca ali obdelovalca v njegovem imenu. Zunanji revizorji imajo zadostno kvalificirano osebje, so nepristranski in niso v nasprotju interesov, kar zadeva svoje naloge. Nadzorni organi prekličejo pooblastilo, če utemeljeno sumijo, da revizor neustrezno opravlja svoje naloge. Za končno potrjevanje poskrbi nadzorni organ.

1e.  Nadzorni organi upravljavcem in obdelovalcem, ki so po reviziji prejeli potrdilo, da osebne podatke obdelujejo v skladu s to uredbo, dodelijo standardizirano označbo za varstvo podatkov, poimenovano „evropski pečat za varstvo podatkov“.

1f.  „Evropski pečat za varstvo podatkov“ je veljaven, dokler so dejavnosti obdelave podatkov, ki jih opravlja potrjeni upravljavec ali obdelovalec, v celoti v skladu s to uredbo.

1g.  Ne glede na odstavek 1f je potrdilo veljavno največ pet let.

1h.  Evropski odbor za varstvo podatkov uvede javni elektronski register, v katerem ima javnost vpogled v vsa veljavna in neveljavna potrdila, ki so bila izdana v državah članicah.

1i.  Evropski odbor za varstvo podatkov lahko na lastno pobudo potrdi, da je tehnični standard za krepitev varstva podatkov skladen s to uredbo.

2.  Komisija je, po tem, ko zaprosi Evropski odbor za varstvo podatkov za mnenje in se posvetuje z zainteresiranimi stranmi, zlasti z industrijo in nevladnimi organizacijami, v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za mehanizme potrjevanja za varstvo podatkov iz odstavka 1 odstavkov 1a do 1h , vključno s z zahtevami za akreditacijo revizorjev, pogoji za dodelitev in odvzem potrditve ter zahtevami za priznanje v Uniji in v tretjih državah. Ti delegirani akti podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki.

3.  Komisija lahko določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov, ki bodo spodbujali uporabo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov ter jih priznali. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 136]

POGLAVJE V

PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 40

Splošna načela za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se lahko, v skladu z drugimi določbami te uredbe, izvede samo, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo.

Člen 41

Prenosi s sklepom o ustreznosti

1.  Prenos se lahko izvede, če je Komisija sprejela sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno nobeno dodatno posebno pooblastilo.

2.  Pri ocenjevanju ustreznosti ravni varstva Komisija upošteva naslednje elemente:

(a)  načelo pravne države, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter izvajanje te zakonodaje , poklicnih pravil in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji, sodno prakso, prav tako učinkovite in izvršljive pravice, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(b)  obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, vključno z zadostnimi pooblastili za sankcije, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(c)  mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija, zlasti vse pravno zavezujoče konvencije ali instrumente v zvezi z varstvom osebnih podatkov .

3.  Komisija lahko je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). Takšni delegirani akti vsebujejo klavzulo o časovni omejitvi veljavnosti, če zadevajo sektor za obdelavo, in so v skladu s členom 5 preklicani, kakor hitro ni več mogoče zagotoviti ustrezne ravni varstva v skladu s to uredbo.

4.  V izvedbenih delegiranih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredeli nadzorni organ iz točke (b) odstavka 2.

4a.  Komisija stalno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplivali na elemente iz odstavka 2, kjer je bil sprejet delegirani akt v skladu z odstavkom 3.

5.  Komisija lahko je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ali ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2) ali v izjemno nujnih primerih za posameznike glede na njihovo pravico do varstva osebnih podatkov v skladu s postopkom iz člena 87(3).

6.  Če Komisija sprejme sklep v skladu z odstavkom 5, je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, brez poseganja v člene 42 do 44. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.

6a.  Komisija pred sprejetjem delegiranega akta iz odstavkov 3 in 5 zaprosi Evropski odbor za varstvo podatkov, da predloži mnenje o ustreznosti ravni varstva. V ta namen Komisija predloži Evropskemu odboru za varstvo podatkov vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo.

7.  Komisija v Uradnem listu Evropske unije in na svoji spletni strani objavi seznam navedenih tretjih držav, ozemeljskih enot, sektorjev za obdelavo v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo.

8.  Sklepi, ki jih je Komisija sprejela na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES, ostanejo veljavni pet let po začetku veljavnosti te uredbe , dokler razen če jih Komisija ne spremeni, nadomesti ali razveljavi pred koncem tega obdobja . [Sprememba 137]

Člen 42

Prenosi z ustreznimi zaščitnimi ukrepi

1.  Če Komisija ni sprejela nobenega sklepa v skladu s členom 41 ali če sprejme sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v navedeni tretji državi ali zadevna mednarodna organizacija ne zagotavlja ustrezne ravni varstva v skladu s členom 41(5) , lahko upravljavec ali obdelovalec osebne podatke prenese osebnih podatkov ne sme prenesti v tretjo državo ali mednarodno organizacijo samo , razen če je v zvezi z varstvom osebnih podatkov v pravno zavezujočem aktu navedel ustrezne zaščitne ukrepe.

2.  Ustrezni zaščitni ukrepi iz odstavka 1 se zagotovijo zlasti z:

(a)  zavezujočimi poslovnimi pravili v skladu s členom 43; ali

(aa)  veljavnim „evropskim pečatom za varstvo podatkov“ za upravljavca in prejemnika v skladu s odstavkom 1e člena 39; ali

(b)  standardnimi določili Komisije o varstvu podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2); ali

(c)  standardnimi določili o varstvu podatkov, ki jih je sprejel nadzorni organ v skladu z mehanizmom za skladnost iz člena 57, ko jih Komisija v skladu s točko (b) člena 62(1) razglasi za splošno veljavna; ali

(d)  pogodbenimi določbami med upravljavcem ali obdelovalcem in prejemnikom podatkov, ki jih je odobril nadzorni organ v skladu z odstavkom 4.

3.  Za prenos, ki temelji na standardnih določilih o varstvu podatkov, „evropskem pečatu za varstvo podatkov“ ali zavezujočih poslovnih pravilih iz točk (a), (b) (aa) ali (c) odstavka 2, dodatno posebno pooblastilo ni potrebno.

4.  Kadar prenos temelji na pogodbenih določbah iz točke (d) odstavka 2 tega člena, upravljavec ali obdelovalec od nadzornega organa pridobi predhodno odobritev pogodbenih določb v skladu s točko (a) člena 34(1) . Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

5.  Kadar ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov niso zagotovljeni v pravno zavezujočem aktu, upravljavec ali obdelovalec za prenos ali niz prenosov ali določbe, ki bodo vstavljene v upravne dogovore, ki določajo podlago za tak prenos, pridobi predhodno odobritev. Taka odobritev s strani nadzornega organa je v skladu s točko (a) člena 34(1). Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57. Odobritve s strani nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavne dve leti po začetku veljavnosti te uredbe , dokler razen če jih ta nadzorni organ ne spremeni, nadomesti ali razveljavi pred koncem tega obdobja . [Sprememba 138]

Člen 43

Prenosi z zavezujočimi poslovnimi pravili

1.  Nadzorni organ v skladu z mehanizmom za skladnost iz člena 58 zavezujoča poslovna pravila odobri, če:

(a)  so pravno zavezujoča, veljajo za vsakega člana povezane družbe upravljavca ali obdelovalca in tiste zunanje podizvajalce, za katere veljajo zavezujoča poslovna pravila , jih izvajajo vsi člani te družbe in zunanji izvajalci in obsegajo tudi zaposlene v tej družbi in zunanjih podizvajalcih ;

(b)  izrecno podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki;

(c)  izpolnjujejo zahteve iz odstavka 2.

1a.  Kar zadeva podatke o zaposlitvi, so predstavniki zaposlenih obveščeni o pripravi zavezujočih poslovnih pravil v skladu s členom 43, ter pri tem v skladu s pravom in prakso Unije ali države članice tudi sodelujejo.

2.  Zavezujoča poslovna pravila določajo vsaj:

(a)  strukturo in kontaktne podatke povezane družbe in njenih članov ter tistih zunanjih podizvajalcev, za katere veljajo zavezujoča poslovna pravila ;

(b)  prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, vrsto posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter opredelitvijo zadevne tretje države ali držav;

(c)  njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)  splošna načela o varstvu podatkov, zlasti omejitev namena, zmanjšanje količine podatkov na najmanjšo možno mero, omejena obdobja hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo občutljivih osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve za nadaljnje prenose v organizacije, ki jih politike ne zavezujejo;

(e)  pravice posameznikov, na katere se nanašajo osebni podatki, in sredstva za uveljavljanje teh pravic, vključno s pravico, da posameznik ni predmet ukrepa na podlagi oblikovanja profilov v skladu s členom 20, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 75 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)  sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli člana povezane družbe, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti lahko delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, na podlagi katerega je škoda nastala;

(g)  načine, na katere se informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 11;

(h)  naloge uradne osebe za varstvo podatkov, imenovane v skladu s členom 35, vključno s spremljanjem skladnosti z zavezujočimi poslovnimi pravili znotraj povezane družbe, pa tudi spremljanjem usposabljanja in obravnavanja pritožb;

(i)  mehanizme v povezani družbi, ki so namenjeni zagotavljanju preverjanja skladnosti z zavezujočimi poslovnimi pravili;

(j)  mehanizme za poročanje in evidentiranje sprememb politik ter poročanje o teh spremembah nadzornemu organu;

(k)  mehanizem sodelovanja z nadzornim organom, da se zagotovi upoštevanje pravil s strani vsakega člana povezane družbe, zlasti z dajanjem rezultatov preverjanj ukrepov iz točke (i) tega odstavka na voljo nadzornemu organu.

3.  Komisija je v skladu s členom 86 pooblaščena Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov, v skladu s členom 86 v zvezi s katerimi podrobneje določi merila podrobnejšim določanjem formata, postopkov, meril in zahteve zahtev za zavezujoča poslovna pravila v smislu tega člena, zlasti glede meril za njihovo odobritev, vključno s preglednostjo za posameznike, na katere se nanašajo osebni podatki, in uporabe točk (b), (d), (e) in (f) odstavka 2 za zavezujoča poslovna pravila, ki veljajo za obdelovalce, ter nadaljnjih zahtev, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki.

4.  Komisija lahko določi obliko zapisa in postopke za izmenjavo informacij z elektronskimi sredstvi med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila v smislu tega člena. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 139]

Člen 43a

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

1.  Nobena sodba sodišča in nobena odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva razkritje osebnih podatkov, se ne prizna niti ni izvršljiva na noben način, brez poseganja v pogodbo ali mednarodni sporazum o medsebojni pravni pomoči, sklenjen med tretjo državo prosilko in Unijo ali državo članico.

2.  Če sodba sodišča ali odločba upravnega organa tretje države od upravljavca ali obdelovalca zahteva razkritje osebnih podatkov, mora upravljavec ali obdelovalec in predstavnik upravljavca, če obstaja, o zahtevi brez nepotrebnega odlašanja obvestiti pristojni nadzorni organ in od njega pridobiti predhodno odobritev za prenos ali razkritje.

3.  Nadzorni organ oceni skladnost zahtevanega razkritja s to uredbo in zlasti, ali je razkritje potrebno in zakonsko predpisano v skladu s točkama (d) in (e) odstavka 1 in odstavkom 5 člena 44. Če to vpliva na posameznike, na katere se nanašajo osebni podatki, iz drugih držav članic, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

4.  Nadzorni organ o zahtevi obvesti pristojni nacionalni organ. Ne glede na člen 21 upravljavec oziroma obdelovalec o zahtevi in odobritvi nadzornega organa obvesti tudi posameznike, na katere se nanašajo osebni podatki, in jih, kjer je to primerno, obvesti o tem, ali so imeli v zadnjem nepretrganem dvanajstmesečnem obdobju dostop do osebnih podatkov tudi javni organi, v skladu s točko (ha) člena 14(1). [Sprememba 140]

Člen 44

Odstopanja

1.  Če sklep o ustreznosti v skladu s členom 41 ali ustrezni zaščitni ukrepi v skladu s členom 42 niso bili sprejeti, se prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede samo pod pogojem, da:

(a)  je posameznik, na katerega se nanašajo osebni podatki, po tem, ko je bil obveščen o nevarnostih takih prenosov zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, privolil v predlagani prenos; ali

(b)  je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c)  je prenos potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki; ali

(d)  je prenos potreben zaradi pomembnih javnih interesov; ali

(e)  je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali

(f)  je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; ali

(g)  se prenos opravi iz registra, ki je po zakonodaji Unije ali zakonodaji držav članic namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže pravni interes, v kolikor so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni v zakonodaji Unije ali zakonodaji držav članic; ali .

(h)  je prenos potreben zaradi pravnih interesov, za katere si prizadeva upravljavec ali obdelovalec in ki jih ni mogoče šteti za pogoste ali množične, ter kadar je upravljavec ali obdelovalec ocenil vse okoliščine prenosa podatkov ali niza prenosov podatkov in na podlagi te ocene po potrebi predvidel ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

2.  Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali vseh vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo pravni interes, se prenos opravi samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

3.  Kadar obdelava temelji na točki (h) odstavka 1, upravljavec ali obdelovalec posebno pozornost nameni naravi podatkov, namenu in trajanju predlaganega postopka ali postopkov obdelave ter razmeram v državi izvora, tretji državi in končni namembni državi ter po potrebi predvidi ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

4.  Točke  Točki (b), in (c) in (h) odstavka 1 ne veljajo veljata za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pristojnosti.

5.  Javni interes iz točke (d) odstavka 1 mora biti priznan v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca.

6.  Upravljavec ali obdelovalec dokumentira oceno in predvidene ustrezne zaščitne ukrepe iz točke (h) odstavka 1 tega člena v dokumentaciji iz člena 28 in o prenosu obvesti nadzorni organ.

7.  Komisija je Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov točko (b) odstavka 66(1) , s katerimi podrobneje določi „pomembne javne interese“ v smislu točke (d) odstavka 1 ter merila in zahteve za ustrezne zaščitne ukrepe iz točke (h) prenose podatkov na podlagi odstavka 1. [Sprememba 141]

Člen 45

Mednarodno sodelovanje za varstvo osebnih podatkov

1.  Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:

(a)  oblikovanje učinkovitih mehanizmov mednarodnega sodelovanja za spodbujanje zagotovitev uveljavljanja zakonodaje o varstvu osebnih podatkov; [Sprememba 142]

(b)  zagotavljanje mednarodne medsebojne pomoči pri uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, v zvezi s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)  vključevanje ustreznih zainteresiranih strani v razpravo in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri uveljavljanju zakonodaje o varstvu osebnih podatkov;

(d)  spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov. ;

(da)  razjasnijo spore v zvezi s sodno pristojnostjo s tretjimi državami in se o njih posvetujejo. [Sprememba 143]

2.  Komisija za namene iz odstavka 1 sprejme ustrezne ukrepe za spodbujanje odnosa s tretjimi državami in mednarodnimi organizacijami ter zlasti z njihovimi nadzornimi organi, če je Komisija sprejela sklep, da zagotavljajo ustrezno raven varstva v smislu člena 41(3).

Člen 45a

Poročilo Komisije

Komisija Evropskemu parlamentu in Svetu redno, z začetkom najpozneje štiri leta po datumu iz člena 91(1), posreduje poročilo o uporabi členov 40 do 45. V ta namen lahko Komisija od držav članic in nadzornih organov zahteva podatke, ki jih morajo ti predložiti brez nepotrebnega odlašanja. Poročilo se objavi. [Sprememba 144]

POGLAVJE VI

NEODVISNI NADZORNI ORGANI

ODDELEK 1

STATUS NEODVISNOSTI

Člen 46

Nadzorni organ

1.  Vsaka država članica določi, da je eden ali več javnih organov pristojnih za spremljanje uporabe te uredbe in za prispevanje k njeni dosledni uporabi v vsej Uniji za zaščito temeljnih pravic in svoboščin fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov ter za zagotovitev prostega pretoka osebnih podatkov v Uniji. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in sodelovanje s Komisijo.

2.  Če je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo navedenih organov v Evropskem odboru za varstvo podatkov, in določi mehanizem za zagotavljanje, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 57.

3.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 47

Neodvisnost

1.  Nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno in nepristransko, ne glede na pravila o sodelovanju in skladnosti iz Poglavja VII te uredbe . [Sprememba 145]

2.  Člani nadzornega organa pri izvajanju svojih nalog nikogar ne prosijo za navodila in jih od nikogar ne sprejemajo.

3.  Člani nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi nalogami, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.  Člani nadzornega organa po prenehanju svojega mandata ravnajo neoporečno in preudarno glede sprejemanja imenovanj in ugodnosti.

5.  Vsaka država članica zagotovi, da so nadzornemu organu na voljo zadostni človeški, tehnični in finančni viri, prostori in infrastruktura, ki so potrebni za učinkovito izvajanje njegovih nalog in pooblastil, vključno s tistimi, ki se izvedejo v okviru medsebojne pomoči, sodelovanja in dejavne udeležbe v Evropskem odboru za varstvo podatkov.

6.  Vsaka država članica zagotovi, da ima nadzorni organ svoje osebje, člane katerega imenuje in usmerja vodja nadzornega organa.

7.  Države članice zagotovijo, da se izvaja finančni nadzor nadzornega organa, kar pa ne vpliva na njegovo neodvisnost. Države članice zagotovijo, da ima nadzorni organ ločene letne proračune. Proračuni se objavijo.

7a.  Vsaka država članica zagotovi, da nadzorni organ odgovarja nacionalnemu parlamentu v zvezi s proračunskim nadzorom. [Sprememba 146]

Člen 48

Splošni pogoji za člane nadzornega organa

1.  Države članice zagotovijo, da člane nadzornega organa imenuje parlament ali vlada zadevne države članice.

2.  Člani se izberejo izmed oseb, o neodvisnosti katerih ni nikakršnih dvomov in ki dokazujejo izkušnje in strokovnost, potrebne za opravljanje njihovih nalog, zlasti na področju varstva osebnih podatkov.

3.  Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu z odstavkom 5.

4.  Pristojno nacionalno sodišče lahko razreši člana ali mu odvzame pravico do pokojnine ali do drugih podobnih ugodnosti, če član ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih nalog, ali če je zagrešil hujšo kršitev.

5.  Če članu mandat preneha ali če član odstopi, še naprej opravlja svoje naloge, dokler ni imenovan nov član.

Člen 49

Pravila o ustanovitvi nadzornega organa

Vsaka država članica z zakonom v mejah te uredbe določi:

(a)  ustanovitev in status nadzornega organa;

(b)  kvalifikacije, izkušnje in strokovnost, ki se zahtevajo za opravljanje nalog članov nadzornega organa;

(c)  pravila in postopke za imenovanje članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi s funkcijo;

(d)  trajanje mandata članov nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku veljavnosti te uredbe, del katerega lahko traja krajše obdobje, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

(e)  ali se lahko člani nadzornega organa ponovno imenujejo;

(f)  pravila in splošne pogoje, ki urejajo naloge članov in osebja nadzornega organa;

(g)  pravila in postopke o prenehanju dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se zahtevajo za opravljanje njihovih nalog, ali če so zagrešili hujšo kršitev.

Člen 50

Poklicna molčečnost

Člani in osebje nadzornega organa so v skladu z nacionalno zakonodajo in prakso tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti, ki jih opravljajo na neodvisen in pregleden način, kot je določeno v tej uredbi . [Sprememba 147]

ODDELEK 2

NALOGE IN POOBLASTILA

Člen 51

Pristojnost

1.  Vsak nadzorni organ je na ozemlju svoje države članice izvaja pooblastila pristojen za izvajanje nalog in pooblastil , ki so mu bila podeljena v skladu s to uredbo, brez poseganja v člena 73 in 74 . Obdelavo podatkov, ki jo izvaja javni organ, nadzoruje samo nadzorni organ te države članice. [Sprememba 148]

2.  Kadar se obdelava osebnih podatkov izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici, je nadzorni organ glavnega sedeža upravljavca ali obdelovalca brez poseganja v določbe poglavja VII te uredbe pristojen za nadzor postopkov obdelave upravljavca ali obdelovalca v vseh državah članicah. [Sprememba 149]

3.  Nadzorni organ ni pristojen za nadzor postopkov obdelave sodišč, kadar delujejo kot sodni organ.

Člen 52

Naloge

1.  Nadzorni organ:

(a)  spremlja in zagotavlja uporabo te uredbe;

(b)  obravnava pritožbe, ki jih v skladu s členom 73 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki zastopa posameznika, na katerega se nanašajo osebni podatki, v ustreznem obsegu prouči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša proučitev ali uskladitev z drugim nadzornim organom; [Sprememba 150]

(c)  posreduje informacije in zagotavlja medsebojno pomoč drugim nadzornim organom ter doslednost pri uporabi in izvajanju te uredbe;

(d)  na lastno pobudo ali na podlagi pritožbe ali določenih in dokumentiranih prejetih informacij o domnevni nezakoniti obdelavi ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo; [Sprememba 151]

(e)  spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(f)  institucijam in organom držav članic svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov;

(g)  svetuje o postopkih odobri postopke obdelave iz člena 34 in o njih svetuje ;

(h)  poda mnenje o osnutkih pravil ravnanja v skladu s členom 38(2);

(i)  odobri zavezujoča poslovna pravila v skladu s členom 43;

(j)  sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov. ;

(ja)  potrdi upravljavca ali obdelovalca v skladu s členom 39. [Sprememba 152]

2.  Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov ter o ustreznih ukrepih za zaščito osebnih podatkov . Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke. [Sprememba 153]

2a.  Vsak nadzorni organ skupaj z Evropskim odborom za varstvo podatkov spodbuja ozaveščenost upravljavcev in obdelovalcev o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Sem spada tudi vodenje registra kazni in kršitev. V register bi bilo treba čim podrobneje vnesti tako vsa opozorila kot tudi kazni ter način reševanja kršitev. Vsak nadzorni organ zagotavlja upravljavcem in obdelovalcem v obliki mikro, malih in srednjih podjetij na zahtevo splošne informacije o njihovih odgovornostih in obveznostih na podlagi te uredbe. [Sprememba 154]

3.  Nadzorni organ na zahtevo posamezniku, na katerega se nanašajo osebni podatki, svetuje pri uveljavljanju pravic na podlagi te uredbe in v zvezi s tem po potrebi sodeluje z nadzornimi organi v drugih državah članicah.

4.  Nadzorni organ za pritožbe iz točke (b) odstavka 1 zagotovi obrazec za vložitev pritožbe, ki se lahko izpolni elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

5.  Opravljanje nalog nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

6.  Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna zmerno pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. Takšna pristojbina ne presega stroškov izvedbe zahtevanega ukrepa. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve nadzorni organ. [Sprememba 155]

Člen 53

Pooblastila

1.  Vsak nadzorni organ je v skladu s to uredbo pooblaščen, da:

(a)  upravljavca ali obdelovalca obvesti o domnevni kršitvi predpisov, ki urejajo obdelavo osebnih podatkov, in po potrebi upravljavcu ali obdelovalcu odredi, da na določen način odpravi to kršitev in tako izboljša varstvo posameznika, na katerega se nanašajo osebni podatki, ali upravljavcu naloži dolžnost, da posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varnosti osebnih podatkov ;

(b)  upravljavcu ali obdelovalcu odredi, da ugodi zahtevi posameznika, na katerega se nanašajo osebni podatki, v zvezi z uveljavljanjem pravic iz te uredbe;

(c)  upravljavcu in obdelovalcu ter, kadar je to primerno, predstavniku odredi, da zagotovi vse informacije, potrebne za opravljanje njegovih nalog;

(d)  zagotovi skladnost s predhodnimi odobritvami in predhodnimi posvetovanji iz člena 34;

(e)  opozori ali opomni upravljavca ali obdelovalca;

(f)  odredi popravek, izbris ali uničenje vseh podatkov, ki so bili obdelani s kršitvijo določb te uredbe, in o takih ukrepih obvesti tretje osebe, ki so jim bili podatki posredovani;

(g)  začasno ali dokončno prepove obdelavo;

(h)  prekine prenose podatkov prejemniku v tretji državi ali mednarodni organizaciji;

(i)  poda mnenja o vseh vprašanjih, povezanih z varstvom osebnih podatkov;

(ia)  potrdi upravljavca ali obdelovalca v skladu s členom 39;

(j)  nacionalni parlament, vlado ali druge politične institucije in javnost obvesti o vseh vprašanjih, povezanih z varstvom osebnih podatkov. ;

(ja)  vzpostavi učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te uredbe, ob upoštevanju smernic, ki jih je izdal Evropski odbor za varstvo podatkov v skladu s členom 66(4b).

2.  Vsak nadzorni organ ima preiskovalna pooblastila, da od upravljavca ali obdelovalca brez predhodnega obvestila pridobi:

(a)  dostop do vseh osebnih podatkov in vseh dokumentov in informacij, potrebnih za opravljanje njegovih nalog;

(b)  dostop do vseh njunih njegovih prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov, kadar obstajajo utemeljeni razlogi za domnevo, da se tam izvaja dejavnost, ki krši to uredbo .

Pooblastila iz točke (b) se izvajajo v skladu z zakonodajo Unije in zakonodajo držav članic.

3.  Vsak nadzorni organ je pooblaščen, da pravosodne organe seznani s kršitvami te uredbe in sodeluje v sodnih postopkih, zlasti v skladu s členom 74(4) in členom 75(2).

4.  Vsak nadzorni organ je v skladu s členom 79 pooblaščen za kaznovanje upravnih kršitev, zlasti tistih iz člena 79(4), (5) in (6) . Ta pooblastila se izvajajo na učinkovit, sorazmeren in odvračilen način. [Sprememba 156]

Člen 54

Poročilo o dejavnostih

Vsak nadzorni organ pripravi letno vsaj vsaki dve leti poročilo o svojih dejavnostih. Poročilo se predloži nacionalnemu zadevnemu parlamentu ter da na voljo javnosti, Komisiji in Evropskemu odboru za varstvo podatkov. [Sprememba 157]

Člen 54a

Vodilni organ

1.  Kadar se obdelava osebnih podatkov izvaja v okviru dejavnosti enote upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec enote v več kot eni državi članici ali kadar se obdelujejo osebni podatki državljanov več držav članic, nadzorni organ glavnega sedeža upravljavca ali obdelovalca deluje kot vodilni organ, pristojen za nadzor postopkov obdelave upravljavca ali obdelovalca v vseh državah članicah v skladu z določbami Poglavja VII te uredbe.

2.  Vodilni organ sprejme ustrezne ukrepe za nadzor postopkov obdelave upravljavca ali obdelovalca, za katerega je pristojen, le po tem, ko se posvetuje z vsemi ostalimi pristojnimi nadzornimi organi v smislu odstavka 1 člena 51 z namenom doseganja soglasja. V ta namen zlasti predloži vse ustrezne informacije in se posvetuje z drugimi organi pred sprejetjem ukrepa, katerega namen so pravni učinki za upravljavca ali obdelovalca v smislu odstavka 1 člena 51. Vodilni organ v čim večji meri upošteva mnenja udeleženih organov. Vodilni organ bo edini organ, pristojen za odločanje o ukrepih, katerih namen so pravni učinki za dejavnosti obdelave, ki jih izvaja upravljavec ali obdelovalec, za katerega je odgovoren vodilni organ.

3.  Evropski odbor za varstvo podatkov na zahtevo pristojnega nadzornega organa izda mnenje o tem, kateri je vodilni organ, odgovoren za upravljavca ali obdelovalca, v primerih, kjer:

(a)  iz dejstev primera ni jasno, kje je glavni sedež upravljavca ali obdelovalca; ali

(b)  se pristojni organi ne strinjajo glede tega, kateri nadzorni organ deluje kot vodilni organ; ali

(c)  upravljavec nima sedeža v Uniji, postopki obdelave v okviru področja uporabe te uredbe pa zadevajo državljane različnih držav članic.

3a.  Kjer upravljavec opravlja tudi dejavnosti obdelovalca, nadzorni organ glavnega sedeža upravljavca deluje kot vodilni organ za nadzor dejavnosti obdelave.

4.  Evropski odbor za varstvo podatkov lahko odloči o tem, kateri organ je vodilni organ. [Sprememba 158]

POGLAVJE VII

SODELOVANJE IN SKLADNOST

ODDELEK 1

SODELOVANJE

Člen 55

Medsebojna pomoč

1.  Nadzorni organi drug drugemu zagotovijo relevantne informacije in medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo to uredbo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih odobritev in posvetovanj, pregledov in preiskav ter takojšnjega obveščanja o začetku postopkov in nadaljnjem razvoju, kadar ima upravljavec ali obdelovalec enote v več državah članicah ali kadar je verjetno, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah. Vodilni organ, opredeljen v členu 54a, zagotovi usklajevanje z udeleženimi nadzornimi organi in deluje kot enotna kontaktna točka za upravljavca ali obdelovalca. [Sprememba 159]

2.  Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, nemudoma in najpozneje en mesec po prejemu zahteve. Taki ukrepi vključujejo zlasti prenos relevantnih informacij o poteku preiskave ali ukrepe izvrševanja zaradi prenehanja ali prepovedi postopkov obdelave v nasprotju s to uredbo.

3.  Zahteva za pomoč vsebuje vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v zvezi z zadevami, za katere so bile zahtevane.

4.  Nadzorni organ, ki prejme zahtevo za pomoč, te zahteve ne sme zavrniti, razen če:

(a)  za zahtevo ni pristojen; ali

(b)  bi bilo upoštevanje zahteve nezdružljivo z določbami te uredbe.

5.  Zaprošeni nadzorni organ obvesti nadzorni organ prosilec o rezultatih ali, odvisno od posameznega primera, o napredku ali sprejetih ukrepih, da se ugodi zahtevi nadzornega organa prosilca.

6.  Nadzorni organi informacije, za katere je zaprosil drug nadzorni organ, posredujejo z elektronskimi sredstvi, v najkrajšem možnem času in v standardizirani obliki.

7.  Za noben ukrep na podlagi zahteve za medsebojno pomoč se nadzornemu organu prosilcu ne zaračuna pristojbina. [Sprememba 160]

8.  Če nadzorni organ ne ukrepa v enem mesecu po prejemu zahteve drugega nadzornega organa, je nadzorni organ prosilec pristojen za sprejetje začasnih ukrepov na ozemlju svoje države članice v skladu s členom 51(1) in zadevo predloži Evropskemu odboru za varstvo podatkov v skladu s postopkom iz člena 57. Če sprejetje dokončnega ukrepa še ni mogoče, ker se pomoč še ni zaključila, lahko nadzorni organ prosilec na ozemlju svoje države članice sprejme začasne ukrepe v skladu s členom 53. [Sprememba 161]

9.  Nadzorni organ določi obdobje veljavnosti takega začasnega ukrepa. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo v skladu s postopkom iz člena 57 . [Sprememba 162]

10.  Komisija Evropski odbor za varstvo podatkov lahko določi obliko zapisa in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz odstavka 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 163]

Člen 56

Skupno ukrepanje nadzornih organov

1.  Nadzorni organi za krepitev sodelovanja in medsebojne pomoči izvajajo skupne preiskovalne naloge, skupne ukrepe izvrševanja in druge skupne ukrepe, pri katerih sodelujejo imenovani člani ali osebje nadzornih organov drugih držav članic.

2.  Kadar ima upravljavec ali obdelovalec enote v več državah članicah ali kadar obstaja verjetnost, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnih preiskovalnih nalogah ali skupnem ukrepanju, kakor je primerno. Pristojni nadzorni Vodilni organ k sodelovanju , kot je opredeljen v členu 54a, pri zadevnih skupnih preiskovalnih nalogah ali skupnem ukrepanju povabi vključi nadzorni organ vsake od teh držav članic in se nemudoma odzove na zahtevo nadzornega organa glede sodelovanja pri ukrepih. Vodilni organ deluje kot enotna kontaktna točka za upravljavca ali obdelovalca. [Sprememba 164]

3.  Vsak nadzorni organ lahko kot nadzorni organ gostitelj v skladu z lastno nacionalno zakonodajo in s pooblastilom nadzornega organa druge države članice podeli izvršilna pooblastila, tudi za preiskovalne naloge, članom ali osebju nadzornega organa drugih držav članic, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa drugih držav članic dovoli izvajanje njihovih izvršilnih pooblastil v skladu z zakonodajo nadzornega organa druge države članice. Taka izvršilna pooblastila se lahko izvajajo samo pod vodstvom in praviloma v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja nacionalna zakonodaja nadzornega organa gostitelja. Nadzorni organ gostitelj prevzame odgovornost za njihovo delovanje.

4.  Nadzorni organi določijo praktične vidike posebnih ukrepov sodelovanja.

5.  Če nadzorni organ v enem mesecu ne izpolni obveznosti iz odstavka 2, so drugi nadzorni organi pristojni za sprejetje začasnega ukrepa na ozemlju njegove države članice v skladu s členom 51(1).

6.  Nadzorni organ določi obdobje veljavnosti začasnega ukrepa iz odstavka 5. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo ter zadevo predloži v mehanizem iz člena 57.

ODDELEK 2

SKLADNOST

Člen 57

Mehanizem za skladnost

Za namene iz člena 46(1) nadzorni organi drug z drugim in s Komisijo sodelujejo prek mehanizma za skladnost, kot je določeno tako zadevajoč vprašanja splošne uporabe kot v posameznih primerih v skladu z določbami v tem oddelku. [Sprememba 165]

Člen 58

Mnenje Evropskega odbora za varstvo podatkov Skladnost pri vprašanjih splošne uporabe

1.  Preden nadzorni organ sprejme ukrep iz odstavka 2, ta nadzorni organ osnutek ukrepa posreduje Evropskemu odboru za varstvo podatkov in Komisiji.

2.  Obveznost iz odstavka 1 velja za ukrep, katerega namen so pravni učinki in ki:

(a)  se nanaša na postopke obdelave, povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah, ali s spremljanjem vedenja takih posameznikov; ali

(b)  lahko znatno vpliva na prosti pretok osebnih podatkov v Uniji; ali

(c)  je namenjen sprejetju seznama postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s členom 34(5); ali

(d)  je namenjen določitvi standardnih določil o varstvu podatkov iz točke (c) člena 42(2); ali

(e)  je namenjen odobritvi pogodbenih določb iz točke (d) člena 42(2); ali

(f)  je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 43.

3.  Vsak nadzorni organ ali Evropski odbor za varstvo podatkov lahko zahteva, da se zadeva splošne uporabe obravnava v mehanizmu za skladnost, zlasti če nadzorni organ ne predloži osnutka ukrepa iz odstavka 2 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56.

4.  Za zagotovitev pravilne in dosledne uporabe te uredbe lahko Komisija zahteva, da se katera koli zadeva splošne uporabe obravnava v mehanizmu za skladnost.

5.  Nadzorni organi in Komisija v standardizirani elektronski obliki brez nepotrebnega odlašanja sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa in razlogi, zaradi katerih je sprejetje takega ukrepa potrebno.

6.  Predsednik Evropskega odbora za varstvo podatkov člane Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki nemudoma brez nepotrebnega odlašanja obvesti o vseh relevantnih informacijah, ki jih je prejel. Predsednik Sekretariat Evropskega odbora za varstvo podatkov po potrebi zagotovi prevode relevantnih informacij.

6a.  Evropski odbor za varstvo podatkov sprejme mnenje o zadevah, posredovanih v skladu z odstavkom 2.

7.  Evropski odbor za varstvo podatkov lahko z navadno večino odloči, ali bo sprejel mnenje o zadevi poda mnenje, če tako odloči enostavna večina njegovih članov ali če to zahteva kateri koli nadzorni organ ali Komisija, in sicer v enem tednu po prejemu relevantnih informacij v skladu z odstavkom 5. , posredovani v skladu s odstavkoma 3 in 4, pri čemer upošteva: Mnenje se sprejme v enem mesecu z navadno večino članov Evropskega odbora za varstvo podatkov. Predsednik Evropskega odbora za varstvo podatkov o mnenju nemudoma obvesti nadzorni organ iz odstavka 1 oziroma odstavka 3, Komisijo in nadzorni organ, pristojen na podlagi člena 51, ter ga objavi.

(a)  nove elemente v zadevi, upoštevajoč spremembe zakonskih ali dejanskih okoliščin, zlasti na področju informacijske tehnologije in glede na raven razvoja informacijske družbe; ter

(b)  ali je Evropski odbor za varstvo podatkov že izdal mnenje o tej zadevi.

8.  Nadzorni organ iz odstavka 1 in nadzorni organ, pristojen na podlagi člena 51, upoštevata mnenje Evropskega odbora za varstvo podatkov in v dveh tednih po tem, ko ju predsednik Evropskega odbora za varstvo podatkov obvesti o mnenju, predsednika Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki obvestita, ali bosta ohranila ali spremenila svoj osnutek ukrepa oziroma spremenjeni osnutek ukrepa, če obstaja. Evropski odbor za varstvo podatkov sprejema mnenja v skladu z odstavkoma 6a in 7 z navadno večino svojih članov. Mnenja se objavijo. [Sprememba 166]

Člen 58a

Skladnost v posameznih primerih

1.  Pred sprejetjem ukrepa, katerega namen so pravni učinki v smislu člena 54a, vodilni organ vsem ostalim pristojnim organom posreduje vse ustrezne informacije in osnutek ukrepa. Vodilni organ ne sprejme ukrepa, če eden od pristojnih organov v roku treh tednov izrazi resne pomisleke v zvezi z ukrepom.

2.  Če pristojni organ sporoči, da ima resne pomisleke v zvezi z osnutkom ukrepa vodilnega organa, ali če vodilni organ ne predloži osnutka ukrepa iz odstavka 1 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56, zadevo obravnava Evropski odbor za varstvo podatkov.

3.  Vodilni organ in/ali drugi udeleženi pristojni organi in Komisija v standardizirani elektronski obliki brez nepotrebnega odlašanja Evropskemu odboru za varstvo podatkov sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa, razlogi, zaradi katerih je sprejetje takega ukrepa potrebno, pomisleki proti ukrepi in mnenji drugih zadevnih nadzornih organov.

4.  Evropski odbor za varstvo podatkov prouči zadevo, upoštevajoč učinek osnutka ukrepa vodilnega organa na temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in z navadno večino svojih članov v roku dveh tednov po prejetju ustreznih informacij v skladu z odstavkom 3 odloči, ali bo izdal mnenje o zadevi.

5.  Če se Evropski odbor za varstvo podatkov odloči izdati mnenje, to stori v roku šestih tednov in mnenje objavi.

6.  Vodilni organ v največji možni meri upošteva mnenje Evropskega odbora za varstvo podatkov in v dveh tednih po tem, ko ga predsednik Evropskega odbora za varstvo podatkov obvesti o mnenju, predsednika Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki obvesti, ali bo ohranil ali spremenil svoj osnutek ukrepa, ter posreduje morebitni spremenjeni osnutek ukrepa. Če vodilni organ ne namerava upoštevati mnenja Evropskega odbora za varstvo podatkov, o tem predloži obrazloženo utemeljitev.

7.  Če se Evropski odbor za varstvo podatkov še vedno ne strinja z ukrepom nadzornega organa iz odstavka 5, lahko v roku enega meseca z dvotretjinsko večino sprejme ukrep, ki je pravno zavezujoč za nadzorni organ. [Sprememba 167]

Člen 59

Mnenje Komisije

1.  V desetih tednih po obravnavanju vprašanja iz člena 58 ali najpozneje v šestih tednih v primeru člena 61 lahko Komisija za zagotovitev pravilne in dosledne uporabe te uredbe sprejme mnenje glede vprašanj, ki se pojavijo v skladu s členom 58 ali 61.

2.  Če Komisija sprejme mnenje v skladu z odstavkom 1, zadevni nadzorni organ v največji možni meri upošteva mnenje Komisije ter Komisijo in Evropski odbor za varstvo podatkov obvesti, ali namerava svoj osnutek ukrepa ohraniti ali spremeniti.

3.  V roku iz odstavka 1 nadzorni organ ne sprejme osnutka ukrepa.

4.  Če zadevni nadzorni organ ne namerava upoštevati mnenja Komisije, Komisijo in Evropski odbor o varstvu podatkov o tem obvesti v roku iz odstavka 1 ter poda utemeljitev. V tem primeru se osnutek ukrepa ne sprejme še nadaljnji mesec. [Sprememba 168]

Člen 60

Začasni preklic osnutka ukrepa

1.  Komisija lahko v enem mesecu po obvestilu iz člena 59(4), če ima resne pomisleke glede tega, ali bi osnutek ukrepa zagotovil pravilno uporabo te uredbe, ali meni, da bi kako drugače pripomogel k njeni nedosledni uporabi, sprejme obrazloženi sklep, v katerem od nadzornega organa zahteva, da začasno prekliče osnutek ukrepa, pri čemer upošteva mnenje Evropskega odbora za varstvo podatkov v skladu s členom 58(7) ali členom 61(2), če se to zdi potrebno zaradi:

(a)  uskladitve razhajajočih se stališč nadzornega organa in Evropskega odbora za varstvo podatkov, če se to še zdi mogoče; ali

(b)  sprejetja ukrepa v skladu s točko (a) člena 62(1).

2.  Komisija določi trajanje začasnega preklica, ki ni daljše od 12 mesecev.

3.  Nadzorni organ v roku iz odstavka 2 ne sme sprejeti osnutka ukrepa. [Sprememba 169]

Člen 60a

Obveščanje Evropskega parlamenta in Sveta

Komisija redno, in sicer najmanj vsakih šest mesecev, na podlagi poročila predsednika Evropskega odbora za varstvo podatkov obvešča Evropski parlament in Svet o zadevah, ki se obravnavajo v okviru mehanizma za skladnost, pri čemer predstavi sklepe, ki sta jih sprejela Komisija in Evropski odbor za varstvo podatkov za zagotovitev skladnega izvajanja in uporabe te uredbe. [Sprememba 170]

Člen 61

Nujni postopek

1.  V izjemnih okoliščinah, kadar nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi bilo uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, zaradi spremembe obstoječega stanja ali preprečevanja negativnih učinkov ali iz drugih razlogov, znatno ovirano, lahko z odstopanjem od postopka iz člena 58 58a nemudoma sprejme začasne ukrepe z določenim obdobjem veljavnosti. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo. [Sprememba 171]

2.  Če je nadzorni organ sprejel ukrep v skladu z odstavkom 1 in meni, da morajo biti končni ukrepi nujno sprejeti, lahko zahteva nujno mnenje Evropskega odbora za varstvo podatkov, pri čemer navede razloge za tako zahtevo, tudi glede nujnosti končnih ukrepov.

3.  Če pristojni nadzorni organ ni sprejel ustreznega ukrepa v primeru, ko je ukrepanje nujno, lahko nujno mnenje zahteva kateri koli nadzorni organ, da bi zaščitil interese posameznikov, na katere se nanašajo osebni podatki, pri čemer navede razloge za tako zahtevo, tudi glede nujnosti ukrepanja.

4.  Z odstopanjem od člena 58(7) se nujno Nujno mnenje iz odstavkov 2 in 3 tega člena se sprejme v dveh tednih z navadno večino članov Evropskega odbora za varstvo podatkov. [Sprememba 172]

Člen 62

Izvedbeni akti

1.  Komisija lahko potem, ko Evropski odbor za varstvo podatkov zaprosi za mnenje, sprejme splošno uporabne izvedbene akte, s katerimi:

(a)  sprejme sklep glede pravilne uporabe te uredbe v skladu z njenimi cilji in zahtevami glede zadev, o katerih jo obvestijo nadzorni organi v skladu s členom 58 ali 61, glede zadeve, v zvezi s katero je bil sprejet obrazloženi sklep v skladu s členom 60(1), ali glede zadeve, v zvezi s katero nadzorni organ ne predloži osnutka ukrepa in je ta nadzorni organ navedel, da ne namerava upoštevati mnenja Komisije, sprejetega v skladu s členom 59;

(b)  v roku iz člena 59(1) sprejme sklep, ali bo osnutke standardnih določil o varstvu podatkov iz točke (d) člena 58 42 (2) razglasila za splošno veljavne;

(c)  določi oblike zapisa in postopke za uporabo mehanizma za skladnost iz tega oddelka;

(d)  določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz člena 58(5), (6) in (8).

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

2.  Komisija na podlagi ustrezno utemeljenih nujnih razlogov v zvezi z interesi posameznikov, na katere se nanašajo osebni podatki, v primerih iz točke (a) odstavka 1 sprejme izvedbene akte v skladu s postopkom iz člena 87(3), ki se začnejo uporabljati takoj. Ti akti ostanejo veljavni največ 12 mesecev.

3.  Nesprejetje ali sprejetje ukrepa na podlagi tega oddelka ne posega v noben drug ukrep Komisije na podlagi Pogodb. [Sprememba 173]

Člen 63

Izvrševanje

1.  Za namene te uredbe se izvršilni ukrep nadzornega organa ene države članice izvrši v vseh zadevnih državah članicah.

2.  Če nadzorni organ ne predloži osnutka ukrepa v mehanizem za skladnost in krši člen 58(1) do (5) in (2) ali ukrep sprejme kljub navedbi o odločnem nasprotovanju v skladu s členom 58a(1) , ukrep nadzornega organa ni pravno veljaven in izvršljiv. [Sprememba 174]

ODDELEK 3

EVROPSKI ODBOR ZA VARSTVO PODATKOV

Člen 64

Evropski odbor za varstvo podatkov

1.  Ustanovi se Evropski odbor za varstvo podatkov.

2.  Evropski odbor za varstvo podatkov sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov.

3.  Če je v državi članici za spremljanje uporabe predpisov v skladu s to uredbo pristojnih več nadzornih organov, ti imenujejo vodjo teh nadzornih organov kot skupnega predstavnika.

4.  Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih Evropskega odbora za varstvo podatkov, ter imenuje predstavnika. Predsednik Evropskega odbora za varstvo podatkov nemudoma obvešča Komisijo o vseh dejavnostih Evropskega odbora za varstvo podatkov.

Člen 65

Neodvisnost

1.  Evropski odbor za varstvo podatkov pri opravljanju svojih nalog v skladu s členoma 66 in 67 deluje neodvisno.

2.  Brez poseganja v zahteve Komisije iz točke (b) odstavka 1 in iz odstavka 2 člena 66 Evropski odbor za varstvo podatkov pri opravljanju svojih nalog nikogar ne prosi za navodila niti jih od nikogar ne sprejme.

Člen 66

Naloge Evropskega odbora za varstvo podatkov

1.  Evropski odbor za varstvo podatkov zagotovi dosledno uporabo te uredbe. V ta namen Evropski odbor za varstvo podatkov na lastno pobudo ali na zahtevo Evropskega parlamenta, Sveta ali Komisije zlasti:

(a)  Komisiji evropskim institucijam svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(b)  na lastno pobudo, na pobudo katerega od svojih članov ali na zahtevo Evropskega parlamenta, Sveta ali Komisije, prouči vsako vprašanje, ki se nanaša na uporabo te uredbe, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe te uredbe, vključno z uporabo izvršilnih pooblastil ;

(c)  pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;

(d)  poda mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 57;

(da)  poda mnenje o tem, kateri organ bi moral biti vodilni organ v skladu s členom 54a(3);

(e)  spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi, vključno z usklajevanjem skupnega ukrepanja in drugih skupnih dejavnosti, če se tako odloči na zahtevo enega ali več nadzornih organov ;

(f)  spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;

(g)  spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi na področju varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu. ;

(ga)  poda svoje mnenje Komisiji v okviru priprave delegiranih in izvedbenih aktov na podlagi te uredbe;

(gb)  poda svoje mnenje o pravilih ravnanja, oblikovanih na ravni Unije v skladu s členom 38(4);

(gc)  poda svoje mnenje o merilih in zahtevah za mehanizme potrjevanja za varstvo podatkov v skladu s členom 39(2);

(gd)  vodi javni elektronski register o veljavnih in neveljavnih potrdilih v skladu s členom 39(1h);

(ge)  zagotovi pomoč nacionalnim nadzornim organom na njihovo zahtevo;

(gf)  sestavi seznam postopkov obdelave, pri katerih se je treba predhodno posvetovati v skladu s členom 34, in ga objavi;

(gg)  vodi register sankcij, ki so jih upravljavcem ali obdelovalcem naložili pristojni nadzorni organi.

2.  Če Evropski parlament, Svet ali Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.

3.  Evropski odbor za varstvo podatkov Evropskemu parlamentu, Svetu, Komisiji in odboru iz člena 87 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.  Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov.

4a.  Evropski odbor za varstvo podatkov se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Evropski odbor za varstvo podatkov brez poseganja v člen 72 objavi rezultate postopka posvetovanja.

4b.  Evropskemu odboru za varstvo podatkov se zaupa naloga, da izdaja smernice, priporočila in zglede najboljše prakse v skladu s točko (b) odstavka 1 za določitev skupnih postopkov za prejemanje in preverjanje informacij, ki se nanašajo na obtožbe o nezakoniti obdelavi, ter zagotavljanje zaupnosti in varovanja virov prejetih informacij. [Sprememba 175]

Člen 67

Poročila

1.  Evropski odbor za varstvo podatkov Evropski parlament, Svet in Komisijo redno in pravočasno obvešča o rezultatih svojih dejavnosti. Pripravi letno Najmanj vsaki dve leti pripravi poročilo o stanju glede varstva fizičnih oseb v zvezi z obdelavo osebnih podatkov v Uniji in tretjih državah. [Sprememba 176]

Poročilo obsega pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (c) člena 66(1).

2.  Poročilo objavi in posreduje Evropskemu parlamentu, Svetu in Komisiji.

Člen 68

Postopek

1.  Evropski odbor za varstvo podatkov odločitve sprejema z navadno večino članov, razen če v njegovem poslovniku ni drugače določeno . [Sprememba 177]

2.  Evropski odbor za varstvo podatkov sprejme svoj poslovnik in določi svoj način delovanja. Zlasti zagotovi nadaljnje opravljanje nalog v primeru prenehanja mandata ali odstopa člana, ustanavljanje podskupin za posebna vprašanja ali sektorje in svoje postopke v zvezi z mehanizmom za skladnost iz člena 57.

Člen 69

Predsednik

1.  Evropski odbor za varstvo podatkov izmed svojih članov izvoli predsednika in najmanj dva namestnika predsednika. Eden od namestnikov predsednika je Evropski nadzornik za varstvo podatkov, razen če je bil izvoljen za predsednika. [Sprememba 178]

2a.  Mesto predsednika je delovno mesto s polnim delovnim časom. [Sprememba 179]

2.  Mandat predsednika in namestnikov predsednika je pet let in se lahko podaljša.

Člen 70

Naloge predsednika

1.  Naloge predsednika so:

(a)  sklicevanje sestankov Evropskega odbora za varstvo podatkov in priprava dnevnega reda;

(b)  zagotavljanje pravočasne izpolnitve nalog Evropskega odbora za varstvo podatkov, zlasti v zvezi z mehanizmom za skladnost iz člena 57.

2.  Evropski odbor za varstvo podatkov razdelitev nalog med predsednikom in namestnikoma predsednika določi v svojem poslovniku.

Člen 71

Sekretariat

1.  Evropskemu odboru za varstvo podatkov pomaga sekretariat. Evropski nadzornik za varstvo podatkov zagotovi sekretariat.

2.  Sekretariat pod vodstvom predsednika zagotavlja analitično, pravno, upravno in logistično podporo Evropskemu odboru za varstvo podatkov. [Sprememba 180]

3.  Sekretariat je odgovoren zlasti za:

(a)  vsakodnevno poslovanje Evropskega odbora za varstvo podatkov;

(b)  komunikacijo med člani Evropskega odbora za varstvo podatkov, njegovim predsednikom in Komisijo ter za komunikacijo z drugimi institucijami in javnostjo;

(c)  uporabo elektronskih sredstev za notranjo in zunanjo komunikacijo;

(d)  prevod relevantnih informacij;

(e)  pripravo in spremljanje sestankov Evropskega odbora za varstvo podatkov;

(f)  pripravo, osnutek in objavo mnenj in drugih besedil, ki jih sprejme Evropski odbor za varstvo podatkov.

Člen 72

Zaupnost

1.  Razprave Evropskega odbora za varstvo podatkov so lahko po potrebi zaupne, razen če je v poslovniku določeno drugače . Dnevni redi sej Evropskega odbora za varstvo podatkov se objavijo. [Sprememba 181]

2.  Dokumenti, predloženi članom Evropskega odbora za varstvo podatkov, strokovnjakom in predstavnikom tretjih oseb, so zaupni, razen če je dostop do teh dokumentov odobren v skladu z Uredbo (ES) št. 1049/2001 Evropskega parlamenta in Sveta(18) ali jih Evropski odbor za varstvo podatkov kako drugače objavi.

3.  Člani Evropskega odbora za varstvo podatkov, pa tudi strokovnjaki in predstavniki tretjih oseb, morajo spoštovati obveznosti v zvezi z zaupnostjo iz tega člena. Predsednik zagotovi, da so strokovnjaki in predstavniki tretjih oseb seznanjeni s svojimi obveznostmi v zvezi z zaupnostjo.

POGLAVJE VIII

PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 73

Pravica do vložitve pritožbe pri nadzornem organu

1.  Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku in mehanizem za skladnost ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna s to uredbo.

2.  Vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov ki deluje v javnem interesu in ki je ustanovljen v skladu z zakonodajo države članice, ima pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe.

3.  Vsak organ, organizacija ali združenje iz odstavka 2 ima neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve varnosti osebnih podatkov te uredbe . [Sprememba 182]

Člen 74

Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ

1.  Vsaka Brez poseganja v vsako drugo pravno sredstvo v upravnem ali zunajsodnem postopku ima vsaka fizična ali pravna oseba ima pravico do učinkovitega pravnega sredstva v sodnem postopku zoper odločitve odločitev nadzornega organa v zvezi z njo.

2.  Vsak Brez poseganja v vsako drugo pravno sredstvo v upravnem ali zunajsodnem postopku ima vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 52(1).

3.  Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

4.  Posameznik, na katerega se nanašajo osebni podatki in odločitev nadzornega organa v državi članici, ki ni država članica, v kateri ima ta posameznik običajno prebivališče, lahko brez poseganja v mehanizem za skladnost od nadzornega organa v državi članici, v kateri ima svoje običajno prebivališče, zahteva, da v njegovem imenu začne postopek zoper pristojni nadzorni organ v drugi državi članici.

5.  Države članice izvršijo pravnomočne odločbe sodišč iz tega člena. [Sprememba 183]

Člen 75

Pravica do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca

1.  Brez poseganja v katero koli dostopno pravno sredstvo v upravnem postopku, vključno s pravico do vložitve pritožbe pri nadzornem organu v skladu s členom 73, ima vsaka fizična oseba pravico do pravnega sredstva v sodnem postopku, če meni, da so bile njene pravice iz te uredbe kršene zaradi obdelave njenih osebnih podatkov, ki ni bila skladna s to uredbo.

2.  Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri je upravljavec ali obdelovalec ustanovljen. Alternativno so za take postopke pristojna sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec javni organ Unije ali države članice , ki izvaja svoja javna pooblastila. [Sprememba 184]

3.  Če se postopki glede istega ukrepa, odločitve ali prakse obravnavajo v mehanizmu za skladnost iz člena 58, lahko sodišče svoj postopek ustavi, razen kadar nujnost zadeve za varstvo pravic posameznika, na katerega se nanašajo osebni podatki, ne dovoljuje čakanja na izid postopka v mehanizmu za skladnost.

4.  Države članice izvršijo pravnomočne odločbe sodišč iz tega člena.

Člen 76

Splošna pravila za postopke pred sodiščem

1.  Vsak organ, organizacija ali združenje iz člena 73(2) ima pravico do uveljavljanja pravic iz členov 74 in , 75 v imenu in 77, če ima za to pooblastilo enega ali več posameznikov, na katere se nanašajo osebni podatki. [Sprememba 185]

2.  Vsak nadzorni organ ima pravico do sodelovanja v sodnih postopkih in vložitve tožbe pri sodišču za izvrševanje določb te uredbe ali za zagotovitev doslednosti varstva osebnih podatkov v Uniji.

3.  Če pristojno sodišče države članice utemeljeno domneva, da v drugi državi članici potekajo vzporedni postopki, naveže stik s pristojnim sodiščem druge države članice, da potrdi obstoj takih vzporednih postopkov.

4.  Če se taki vzporedni postopki v drugi državi članici nanašajo na isti ukrep, odločitev ali prakso, lahko sodišče postopek ustavi.

5.  Države članice zagotovijo, da sodno varstvo, ki ga določa nacionalna zakonodaja, omogoča hitro sprejetje ukrepov, vključno z začasnimi ukrepi, namenjenimi odpravi domnevne kršitve in preprečitvi nadaljnjega oškodovanja zadevnih interesov.

Člen 77

Pravica do odškodnine in odgovornost

1.  Vsak posameznik, ki je utrpel škodo, vključno z nepremoženjsko škodo, zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo s to uredbo, ima pravico od upravljavca ali obdelovalca dobiti zahtevati odškodnino za nastalo škodo. [Sprememba 186]

2.  Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec od teh upravljavcev ali obdelovalcev solidarno odgovoren za celoten znesek škode, razen če ti z ustreznim pisnim dogovorom določijo odgovornosti v skladu s členom 24 . [Sprememba 187]

3.  Upravljavec ali obdelovalec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.

Člen 78

Kazenske sankcije

1.  Države članice določijo pravila o kazenskih sankcijah, ki se uporabljajo za kršitve določb te uredbe, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja, tudi kadar upravljavec ni izpolnil obveznosti glede imenovanja predstavnika. Določene kazenske sankcije morajo biti učinkovite, sorazmerne in odvračilne.

2.  Kadar upravljavec imenuje predstavnika, vse kazenske sankcije veljajo za predstavnika, brez poseganja v kazenske sankcije, ki se lahko izrečejo upravljavcu.

3.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 79

Upravne sankcije

1.  Vsak nadzorni organ je pooblaščen za izrekanje upravnih sankcij v skladu s tem členom. Nadzorni organi med seboj sodelujejo v skladu s členoma 46 in 57 za zagotovitev harmonizirane ravni sankcij v Uniji.

2.  Upravna sankcija mora biti v vsakem posameznem primeru učinkovita, sorazmerna in odvračilna. Znesek upravne kazni se določi glede na naravo, težo in trajanje kršitve, namerno ali malomarno naravo kršitve, stopnjo odgovornosti fizične ali pravne osebe in prejšnje kršitve te osebe, tehnične in organizacijske ukrepe ter postopke, uvedene v skladu s členom 23, in stopnjo sodelovanja z nadzornim organom pri odpravljanju kršitve.

2a.  Nadzorni organ vsakomur, ki ne izpolnjuje obveznosti iz te uredbe, izreče najmanj eno od naslednjih sankcij:

(a)  pisno opozorilo v primerih prvega nenamernega neizpolnjevanja obveznosti;

(b)  redno preverjanje varstva podatkov,

(c)  denarno kazen v višini do 100 000 000 EUR ali za podjetja do 5 % skupnega letnega prometa, odvisno od tega, kateri znesek je višji.

2b.  Če ima upravljavec ali obdelovalec veljaven „evropski pečat za varstvo podatkov“ v skladu s členom 39, se denarna kazen iz točke (c) odstavka 2a izreče samo v primerih namernega neizpolnjevanja obveznosti ali neizpolnjevanja obveznosti iz malomarnosti.

2c.  Pri upravni sankciji se upoštevajo naslednji dejavniki:

(a)  vrsta, teža in trajanje neizpolnjevanja obveznosti;

(b)  kršitev je namerna ali posledica malomarnosti,

(c)  stopnja odgovornosti fizične ali pravne osebe in njene prejšnje kršitve,

(d)  ponavljajoča se narava kršitve,

(e)  stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(f)  posebne vrste osebnih podatkov, ki jih zadeva kršitev,

(g)  stopnja škode, vključno z nepremoženjsko škodo, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki;

(h)  ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi ublažil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(i)  vse predvidene ali pridobljene finančne koristi, ki neposredno ali posredno izhajajo iz kršitve;

(j)  stopnja tehničnih in organizacijskih ukrepov ter postopkov, uvedenih v skladu s:

(i)  členom 23 – vgrajeno varstvo podatkov,

(ii)  členom 30 – varnost obdelave,

(iii)  členom 33 – ocena učinka o varstvu podatkov,

(iv)  členom 33a – pregled skladnosti z varstvom podatkov;

(v)  členom 35 – imenovanje uradne osebe za varstvo podatkov,

(k)  zavrnitev sodelovanja pri inšpekcijskih pregledih, revizijah in kontrolah, ki jih izvaja nadzorni organ v skladu s členom 53, ali njihovo oviranje;

(l)  drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera.

3.  V primeru prve in nenamerne neskladnosti s to uredbo se lahko namesto sankcije izreče pisni opomin, kadar:

(a)  fizična oseba osebne podatke obdeluje brez komercialnega interesa, ali

(b)  podjetje ali organizacija, ki zaposluje manj kot 250 oseb, obdeluje osebne podatke samo kot postransko dejavnost.

4.  Nadzorni organ izreče denarno kazen v višini do 250 000 EUR, oziroma v primeru podjetja do 0,5 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a)  ne zagotovi mehanizmov za zahteve posameznikov, na katere se nanašajo osebni podatki, ali pa posameznikom, na katere se nanašajo osebni podatki, ne odgovori takoj ali v zahtevani obliki v skladu s členom 12(1) in (2);

(b)  zaračuna pristojbino za informacije ali odgovore na zahteve posameznikov, na katere se nanašajo osebni podatki, in pri tem krši člen 12(4).

5.  Nadzorni organ izreče denarno kazen v višini do 500 000 EUR, oziroma v primeru podjetja do 1 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a)  posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi informacij ali ne zagotovi popolnih informacij ali ne zagotovi informacij na dovolj pregleden način v skladu s členom 11, členom 12(3) in členom 14;

(b)  posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi dostopa ali ne popravi osebnih podatkov v skladu s členoma 15 in 16 ali relevantnih informacij ne sporoči prejemniku v skladu s členom 13;

(c)  ne upošteva pravice biti pozabljen ali pravice do izbrisa ali ne vzpostavi mehanizmov, s katerimi bi zagotovil upoštevanje rokov, ali ne sprejme vseh potrebnih ukrepov za obveščanje tretjih oseb, da posameznik, na katerega se nanašajo osebni podatki, zahteva, da izbrišejo morebitne povezave do osebnih podatkov ali kopije osebnih podatkov v skladu s členom 17;

(d)  ne zagotovi kopije osebnih podatkov v elektronski obliki ali posameznika, na katerega se nanašajo osebni podatki, ovira pri prenosu osebnih podatkov v drugo aplikacijo in pri tem krši člen 18;

(e)  ne določi zadevnih odgovornosti z drugimi upravljavci v skladu s členom 24 ali jih ne določi v zadostni meri;

(f)  ne ohrani dokumentacije v skladu s členom 28, členom 31(4) in členom 44(3);

(g)  v primerih, kadar ne gre za obdelavo posebnih vrst podatkov, ne upošteva pravil glede svobode izražanja ali pravil o obdelavi v okviru zaposlitve ali pogojev glede obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členi 80, 82 in 83.

6.  Nadzorni organ izreče denarno kazen v višini do 1 000 000 EUR, oziroma v primeru podjetja do 2 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a)  obdeluje osebne podatke brez kakršne koli ali nezadostne pravne podlage za obdelavo ali ne izpolnjuje pogojev glede privolitve v skladu s členi 6, 7 in 8;

(b)  obdeluje posebne vrste podatkov ter pri tem krši člena 9 in 81;

(c)  ne upošteva ugovora ali zahteve v skladu s členom 19;

(d)  ne izpolnjuje pogojev v zvezi z ukrepi na podlagi oblikovanja profilov v skladu s členom 20;

(e)  ne sprejme notranjih politik ali ne izvede ustreznih ukrepov za zagotavljanje in dokazovanje skladnosti v skladu s členi 22, 23 in 30;

(f)  ne imenuje predstavnika v skladu s členom 25;

(g)  obdeluje ali da navodilo za obdelavo osebnih podatkov in pri tem krši obveznosti v zvezi z obdelavo v imenu upravljavca v skladu s členoma 26 in 27;

(h)  nadzornega organa ali posameznika, na katerega se nanašajo osebni podatki, ne opozori ali ne obvesti o kršitvi varnosti osebnih podatkov v skladu s členoma 31 in 32 oziroma to obvestilo ni pravočasno ali popolno;

(i)  ne izvede ocene učinka o varstvu podatkov ali obdeluje osebne podatke brez predhodne odobritve ali predhodnega posvetovanja z nadzornim organom v skladu s členoma 33 in 34;

(j)  ne imenuje uradne osebe za varstvo podatkov ali ne zagotovi pogojev za opravljanje nalog v skladu s členi 35, 36 in 37;

(k)  zlorabi pečat ali označbo za varstvo podatkov v smislu člena 39;

(l)  izvede ali naroči prenos podatkov v tretjo državo ali mednarodno organizacijo, ki ga ne dovoljuje noben sklep o ustreznosti ali ustrezni zaščitni ukrepi, ali z odstopanjem od členov 40 do 44;

(m)  ne upošteva odredbe ali začasne ali dokončne prepovedi obdelave ali prekinitve prenosa podatkov s strani nadzornega organa v skladu s členom 53(1);

(n)  ne izpolni obveznosti glede pomoči ali odgovora ali zagotavljanja relevantnih informacij ali odobritve dostopa v prostore nadzornemu organu v skladu s členom 28(3), členom 29, členom 34(6) in členom 53(2);

(o)  ne upošteva pravil glede varovanja poklicne molčečnosti v skladu s členom 84.

7.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi ob upoštevanju meril in dejavnikov iz odstavka  odstavkov 2 in 2c posodobi zneske upravnih kazni iz odstavkov 4, 5 in 6 odstavka 2a . [Sprememba 188]

POGLAVJE IX

DOLOČBE O POSEBNIH PRIMERIH OBDELAVE PODATKOV

Člen 80

Obdelava osebnih podatkov in svoboda izražanja

1.  Države članice določijo izjeme ali odstopanja od določb o splošnih načelih iz poglavja II, pravicah posameznikov, na katere se nanašajo osebni podatki, iz poglavja III, upravljavcu in obdelovalcu iz poglavja IV, prenosu osebnih podatkov v tretje države in mednarodne organizacije iz poglavja V, neodvisnih nadzornih organih iz poglavja VI ter , sodelovanju in skladnosti iz poglavja VII ter posebnih primerih obdelave podatkov iz tega poglavja, kadarkoli je to potrebno za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, da bi uskladile pravico uskladitev pravice do varstva osebnih podatkov s pravili, ki urejajo pravico do svobode izražanja v skladu z Listino . [Sprememba 189]

2.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 80a

Dostop do dokumentov

1.  Osebne podatke v dokumentih, ki jih ima javni organ ali ustanova, lahko ta organ ali ustanova razkrije v skladu z zakonodajo Unije ali države članice, ki ureja dostop javnosti do uradnih dokumentov in usklajuje pravico do varstva osebnih podatkov in načelo dostopa javnosti do uradnih dokumentov.

2.  Vsaka država članica Komisijo uradno obvesti o svojih zakonskih predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov. [Sprememba 190]

Člen 81

Obdelava osebnih podatkov v zvezi z zdravjem

1.  V mejah skladu s pravili iz te uredbe in v skladu , zlasti s točko (h) člena 9(2), mora obdelava osebnih podatkov v zvezi z zdravjem potekati na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne, dosledne in posebne ukrepe za varovanje pravnih interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, če so ti potrebni in biti potrebna sorazmerni ter lahko posameznik, na katerega se nanašajo osebni podatki, predvidi njihove učinke, in sicer :

(a)  za namene preventivne ali poklicne medicine, zdravstvene diagnoze, za zagotovitev oskrbe ali zdravljenja ali upravljanje storitev zdravstvenega varstva in kadar te podatke obdeluje zdravstveni delavec, za katerega velja obveznost poklicne molčečnosti, ali druga oseba, za katero prav tako velja enaka obveznost molčečnosti na podlagi zakonodaje države članice ali pravil, ki jih sprejmejo pristojni nacionalni organi; ali

(b)  zaradi javnega interesa na področju javnega zdravja, na primer zaščite pred resnimi čezmejnimi nevarnostmi za zdravje ali zagotavljanja visokih standardov kakovosti in varnosti, med drugim zdravil ali medicinskih naprav, če te podatke obdeluje oseba, ki je zavezana molčečnosti ; ali

(c)  iz drugih razlogov na področjih, kot je socialno varstvo, predvsem za zagotovitev kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za obravnavanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ter za zagotavljanje zdravstvenih storitev . Ta obdelava osebnih podatkov v zvezi z zdravjem zaradi interesa javnega zdravja ne sme privesti do obdelave teh podatkov v druge namene, razen s privolitvijo posameznika, na katerega se nanašajo osebni podatki, in na podlagi zakonodaje Unije ali države članice.

1a.  Kadar je mogoče namene iz točk (a) do (c) odstavka 1 uresničiti brez uporabe osebnih podatkov, se taki podatki ne uporabijo v te namene, razen na podlagi privolitve posameznika, na katerega se nanašajo osebni podatki, ali zakonodaje države članice.

1b.  Če je za obdelavo zdravstvenih podatkov izključno za namene javnega zdravja potrebna privolitev posameznika, na katerega se nanašajo osebni podatki, se lahko privolitev poda za enega ali več posebnih in podobnih raziskav. Posameznik, na katerega se nanašajo osebni podatki, pa lahko privolitev vedno umakne.

1c.  Za namene privolitve za sodelovanje v znanstvenoraziskovalnih dejavnostih kliničnega preskušanja se uporabljajo ustrezne določbe Direktive 2001/20/ES Evropskega parlamenta in Sveta (19) .

2.  Za obdelavo Obdelava osebnih podatkov v zvezi z zdravjem, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, kot so registri pacientov, uvedeni zaradi izboljšanja diagnoz in za razlikovanje med podobnimi vrstami bolezni ter pripravo študij za terapije, je dovoljena le s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 83.

2a.  Zakonodaja držav članic lahko določa izjeme od zahteve za privolitev v raziskave, kot je določeno v odstavku 2, če so te raziskave v velikem javnem interesu in jih nikakor ni mogoče izvesti drugače. Zadevni podatki se anonimizirajo ali, če to v raziskovalne namene ni mogoče, se psevdonimizirajo v skladu z najvišjimi tehničnimi standardi; prav tako se sprejmejo vsi potrebni ukrepi za preprečevanje neupravičene ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki. Posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da v skladu s členom 19 kadar koli temu nasprotuje.

3.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov po zarositvi Evropskega odbora za varstvo podatkov za mnenje , s katerimi podrobneje določi druge javne interese na področju javnega zdravja, kakor je navedeno v točki (b) odstavka 1, ter merila in zahteve za zaščitne ukrepe za obdelavo osebnih podatkov v namene velik javni interes na področju raziskav iz odstavka 1 2a .

3a.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov. [Sprememba 191]

Člen 82

Obdelava Minimalni standardi za obdelavo podatkov v okviru zaposlitve

1.  V mejah skladu z določbami te uredbe in ob upoštevanju načela sorazmernosti lahko države članice z zakonom zakonskimi predpisi sprejmejo posebna pravila, ki urejajo obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti, vendar ne zgolj, za namene zaposlovanja in kandidature znotraj povezane družbe , izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali in kolektivnimi pogodbami, v skladu z nacionalnim pravom in prakso, za namene upravljanja, načrtovanja in organizacije dela, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja. Države članice lahko dovolijo, da se v kolektivnih pogodbah podrobneje opredelijo določbe iz tega člena.

1a.  Namen obdelave teh podatkov mora biti neposredno povezan z razlogom, zaradi katerega so se zbirali, in ostati v okviru zaposlitve. Oblikovanje profilov ali uporaba za sekundarne namene nista dovoljena.

1b.  Privolitev uslužbenca ne zagotavlja pravne podlage za obdelavo podatkov s strani delodajalca, če privolitev ni bila dana prostovoljno.

1c.  Ne glede na druge določbe te uredbe zakonski predpisi držav članic iz odstavka 1 vključujejo vsaj naslednje minimalne standarde:

(a)  obdelava podatkov zaposlenih brez njihove vednosti ni dovoljena. Države članice lahko ne glede na prvi stavek z zakonom tovrstno prakso dopustijo, pri čemer določijo ustrezen rok za izbris podatkov, če na podlagi dejanskih dokazov obstaja utemeljen sum, da je zaposleni v okviru zaposlitve storil kaznivo dejanje ali hudo zanemarjal delovne obveznosti, če je poleg tega treba podatke zbrati za razjasnitev zadeve ter sta vrsta in obseg zbiranja podatkov nujna in sorazmerna glede na namen. Zasebnost zaposlenih mora biti vedno zaščitena. Preiskavo mora opraviti pristojni organ;

(b)  javen optično-elektronski ali zvočno-elektronski nadzor nejavnih prostorov podjetja, ki so v prvi vrsti namenjeni zasebnim dejavnostim zaposlenega, zlasti sanitarij, garderob, prostorov za počitek in spalnic, je prepovedan. Skriven nadzor ni dovoljen v nobenih okoliščinah;

(c)  če podjetja ali organi zbirajo ali obdelujejo osebne podatke v okviru zdravniških pregledov in/ali preskusov usposobljenosti, morajo kandidatu ali zaposlenemu predhodno razložiti, za kaj se bodo ti podatki uporabljali, in mu jih kasneje skupaj z rezultati izročiti ter na zahtevo tudi obrazložiti. Zbiranje podatkov za genske teste in analize je že v načelu prepovedano;

(d)  s kolektivno pogodbo se lahko določi, ali in v kolikšni meri je uporaba telefona, elektronske pošte, interneta in drugih telekomunikacijskih storitev dovoljena za zasebno uporabo. Če to s kolektivno pogodbo ni določeno, delodajalec neposredno z zaposlenim sklene ustrezni dogovor o tem vprašanju. Če je zasebna uporaba dovoljena, je obdelava pri tem nastalih podatkov dovoljena zlasti za zagotovitev varnosti podatkov, pravilnega delovanja telekomunikacijskih omrežij in telekomunikacijskih storitev ter za obračun.

Države članice lahko ne glede na tretji stavek z zakonom tovrstno prakso dopustijo, pri čemer določijo ustrezen rok za izbris podatkov, če na podlagi dejanskih dokazov obstaja utemeljen sum, da je zaposleni v okviru zaposlitve storil kaznivo dejanje ali hudo zanemarjal delovne obveznosti, če je poleg tega treba podatke zbrati za razjasnitev zadeve ter sta vrsta in obseg zbiranja podatkov nujna in sorazmerna glede na namen. Zasebnost zaposlenih mora biti vedno zaščitena. Preiskavo mora opraviti pristojni organ;

(e)  osebni podatki delavcev, zlasti občutljivi podatki o političnem prepričanju ter članstvu ali dejavnostih v sindikatih, se v nobenem primeru ne smejo uporabljati za uvrščanje delavcev na tako imenovane „črne sezname“ ali z namenom preverjanja ali oviranja njihovega dostopa do zaposlitve v prihodnosti. Obdelava podatkov, njihova uporaba v okviru zaposlitve, oblikovanje in posredovanje črnih seznamov ali druge oblike diskriminacije zaposlenih so prepovedani. Države članice za zagotovitev učinkovitega izvajanja te točke izvajajo preverjanja in sprejmejo ustrezne sankcije v skladu s členom 79(6).

1d.  Posredovanje in obdelava osebnih podatkov zaposlenega med pravno ločenimi podjetji znotraj povezane družbe in s strani strokovnjakov za pravno in davčno svetovanje sta dovoljena, če služita poslovnim interesom in se uporabita za namenske delovne ali upravne postopke ter če nista v nasprotju z interesi in temeljnimi pravicami zadevne osebe, ki jih je treba varovati. Če se podatki o zaposlenem posredujejo v tretjo državo in/ali mednarodni organizaciji, se uporablja poglavje V.

2.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom  odstavkoma 1 in 1b , in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

3.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov po zaprositvi Evropskega odbora za varstvo podatkov za mnenje , s katerimi podrobneje določi merila in zahteve glede zaščitnih ukrepov za obdelavo osebnih podatkov za namene iz odstavka 1. [Sprememba 192]

Člen 82a

Obdelava podatkov v okviru socialne varnosti

1.  Države članice lahko v skladu z določbami te uredbe sprejmejo posebne zakonodajne predpise, ki podrobno določajo pogoje za obdelavo osebnih podatkov s strani njihovih javnih institucij in oddelkov na področju socialne varnosti, če se ta obdelava izvaja v javnem interesu.

2.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov. [Sprememba 193]

Člen 83

Obdelava v zgodovinske, statistične in znanstvenoraziskovalne namene

1.  V mejah skladu s pravili iz te uredbe se lahko osebni podatki obdelujejo v zgodovinske, statistične ali znanstvenoraziskovalne namene samo, če:

(a)  teh namenov ni mogoče kako drugače uresničiti z obdelavo podatkov, ki ne omogoča ali več ne omogoča identifikacije posameznika, na katerega se nanašajo osebni podatki;

(b)  se podatki, ki omogočajo povezavo informacij z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki, hranijo ločeno od drugih informacij v skladu z najvišjimi tehničnimi standardi , če se ti nameni lahko uresničijo na tak način ter so sprejeti vsi potrebni ukrepi za preprečevanje neupravičene ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki .

2.  Organi, ki opravljajo zgodovinske, statistične ali znanstvene raziskave, lahko osebne podatke objavijo ali kako drugače javno razkrijejo samo, če je:

(a)  posameznik, na katerega se nanašajo osebni podatki, dal privolitev v skladu s pogoji iz člena 7;

(b)  objava osebnih podatkov potrebna zaradi predstavitve rezultatov raziskave ali olajšanja raziskave, če interesi ali temeljne pravice ali svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo nad temi interesi; ali

(c)  posameznik podatke objavil.

3.  Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obdelavo osebnih podatkov za namene iz odstavkov 1 in 2 ter morebitne potrebne omejitve glede pravic do obveščenosti posameznika, na katerega se nanašajo osebni podatki, in njegovega dostopa, ter podrobneje določi pogoje in zaščitne ukrepe za pravice posameznika, na katerega se nanašajo osebni podatki, v teh okoliščinah. [Sprememba 194]

Člen 83a

Obdelava osebnih podatkov s strani službe za arhiviranje

1.  Osebne podatke lahko po zaključku njihove prvotne obdelave, za katero so bili zbrani, obdela služba za arhiviranje, katerih glavna naloga ali obveznost je zbiranje, hramba, posredovanje informacij, uporaba in razširjanje arhivskega gradiva v javnem interesu, zlasti za uveljavljanje pravic posameznikov ali v zgodovinske, statistične ali znanstvenoraziskovalne namene. Te naloge se izvajajo v skladu s pravili držav članic v zvezi z dostopom do upravnih dokumentov in arhivskega gradiva ter njihovim posredovanjem ali razširjanjem ter v skladu s pravili iz te uredbe, zlasti v zvezi s privolitvijo in pravico do ugovora.

2.  Vsaka država članica Komisijo uradno obvesti o svojih zakonskih predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov. [Sprememba 195]

Člen 84

Obveznost molčečnosti

1.  V mejah Države članice v skladu s pravili iz te uredbe lahko države članice sprejmejo posebna pravila, s katerimi določijo preiskovalna zagotovijo uveljavitev posebnih pravil, ki določajo pooblastila nadzornih organov iz člena 53(2) v zvezi z upravljavci ali obdelovalci, za katere velja nacionalna zakonodaja ali pravila, ki jih določijo pristojni nacionalni organi glede obveznosti poklicne molčečnosti ali druge enakovredne obveznosti molčečnosti, kadar je to potrebno in sorazmerno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti. Ta pravila veljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, zajete v tej obveznosti molčečnosti. [Sprememba 196]

2.  Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 85

Veljavna pravila o varstvu podatkov cerkva in verskih združenj

1.  Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo celovita ustrezna pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta pravila lahko veljajo še naprej, če se uskladijo z določbami te uredbe.

2.  Cerkve in verska združenja, ki uporabljajo celovita pravila v skladu z odstavkom 1 uporabljajo ustrezna pravila , zagotovijo ustanovitev neodvisnega nadzornega organa pridobijo mnenje o skladnosti v skladu s poglavjem VI te uredbe členom 38 . [Sprememba 197]

Člen 85a

Spoštovanje temeljnih pravic

S to uredbo se ne spreminja obveznost spoštovanja temeljnih pravic in temeljnih pravnih načel iz člena 6 PEU. [Sprememba 198]

Člen 85b

Standardni obrazci

1.  Komisija lahko ob upoštevanju posebnih značilnosti in potreb različnih sektorjev in primerov obdelave podatkov določi standardne obrazce za:

(a)  posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 8(1),

(b)  obveščanje iz člena 12(2), vključno z elektronsko obliko,

(c)  zagotavljanje informacije iz odstavkov od 1 do 3 člena 14,

(d)  zahtevanje informacij iz odstavka 15(1) in omogočanje dostopa do njih, tudi za sporočanje osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki,

(e)  dokumentacijo iz odstavka 1 člena 28,

(f)  obveščanje nadzornega organa o kršitvi v skladu s členom 31 in dokumentiranje iz člena 31(4),

(g)  predhodno posvetovanje iz člena 34 in za predložitev informacij v skladu s členom 34(6).

2.  Komisija pri tem sprejme ustrezne ukrepe za mikro, mala in srednja podjetja.

3.  Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2). [Sprememba 199]

POGLAVJE X

DELEGIRANI IN IZVEDBENI AKTI

Člen 86

Prenos pooblastila

1.  Pooblastilo za sprejemanje delegiranih aktov se na Komisijo prenese pod pogoji iz tega člena.

2.  Pooblastilo za sprejetje delegiranih aktov iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 13a(5), člena 17(9), člena 20(6), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(6), člena 34(8), člena 35(11), člena 37(2), člena 38(4), člena 39(2), člena 41(3), člena 41(5), člena 43(3), člena 44(7), člena 79(6), člena 79(7), člena 81(3), in člena 82(3) in člena 83(3) se prenese na Komisijo prenese za nedoločen čas od dne datuma začetka veljavnosti te uredbe. [Sprememba 200]

3.  Evropski parlament ali Svet lahko kadar koli prekliče pooblastilo Pooblastilo iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 13a(5), člena 17(9), člena 20(6), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(6), člena 34(8), člena 35(11), člena 37(2), člena 38(4), člena 39(2), člena 41(3), člena 41(5), člena 43(3), člena 44(7), člena 79(6), člena 79(7), člena 81(3), in člena 82(3) in člena 83(3) lahko kadarkoli prekliče Evropski parlament ali Svet . S sklepom Z odločitvijo o preklicu preneha veljati pooblastilo iz navedenega sklepa prenos pooblastila, naveden v tej odločitvi . Preklic Odločitev začne veljati učinkovati dan po njeni objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum dan , ki je v njem naveden njej določen . Sklep Odločitev ne vpliva na veljavnost že veljavnih delegiranih aktov. [Sprememba 201]

4.  Komisija takoj po sprejetju delegiranega akta o tem hkrati obvesti Evropski parlament in Svet.

5.  Delegirani akt, sprejet v skladu s členom 6(5), členom 8(3), členom 9(3), členom 12(5), členom 14(7), členom 15(3), členom 13a(5), členom 17(9), členom 20(6), členom 22(4), členom 23(3), členom 26(5), členom 28(5), členom 30(3), členom 31(5), členom 32(5), členom 33(6), členom 34(8), členom 35(11), členom 37(2), členom 38(4), členom 39(2), členom 41(3), členom 41(5), členom 43(3), členom 44(7), členom 79(6), členom 79(7), členom 81(3), in členom 82(3) in členom 83(3) , začne veljati le, če mu niti Evropski parlament ali niti Svet v dveh mesecih ne nasprotuje delegiranemu aktu v roku šestih mesecev od uradnega obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne nasprotujeta Evropskemu parlamentu in Svetu o tem aktu ali če sta pred iztekom navedenega tega roka oba tako Evropski parlament kot Svet obvestila Komisijo, da mu ne bosta nasprotovala. Navedeni Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca šest mesecev . [Sprememba 202]

Člen 87

Postopek v odboru

1.  Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.  Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3.  Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe. [Sprememba 203]

POGLAVJE XI

KONČNE DOLOČBE

Člen 88

Razveljavitev Direktive 95/46/ES

1.  Direktiva 95/46/ES se razveljavi.

2.  Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. Sklicevanja na delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno s členom 29 Direktive 95/46/ES, se štejejo kot sklicevanja na Evropski odbor za varstvo podatkov, ustanovljen s to uredbo.

Člen 89

Povezava z Direktivo 2002/58/ES in njena sprememba

1.  Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo osebnih podatkov, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.

2 Člen  Členi 1(2), 4 in 15 Direktive 2002/58/ES se črta črtajo . [Sprememba 204]

2a.  Komisija nemudoma, najpozneje pa do datuma iz člena 91(2) predloži predlog za revizijo pravnega okvira za obdelavo osebnih podatkov in varstvo zasebnosti v elektronskih komunikacijah, da bi ga uskladila s to uredbo in tako zagotovila dosledne in usklajene pravne določbe v zvezi s temeljno pravico do varstva osebnih podatkov v Uniji. [Sprememba 205]

Člen 89a

Povezava z Uredbo (ES) 45/2001/ES in njena sprememba

1.  Pravila iz te uredbe se uporabljajo za obdelavo osebnih podatkov v institucijah, organih, uradih in agencijah Unije v zvezi z zadevami, za katere se ne uporabljajo dodatna pravila iz Uredbe (ES) št 45/2001.

2.  Komisija nemudoma, najpozneje pa do datuma iz člena 91(2) predloži predlog za revizijo pravnega okvira, ki se uporablja za obdelavo osebnih podatkov v institucijah, organih, uradih in agencijah Unije. [Sprememba 206]

Člen 90

Ocena

Komisija Evropskemu parlamentu in Svetu redno predloži poročila o oceni in pregledu te uredbe. Prvo poročilo predloži najpozneje štiri leta po začetku veljavnosti te uredbe. Nadaljnja poročila nato predloži vsaka štiri leta. Komisija po potrebi predloži ustrezne predloge z namenom spremembe te uredbe in uskladitve drugih pravnih aktov, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na stanje tehnologije v informacijski družbi. Poročila se objavijo.

Člen 91

Začetek veljavnosti in uporaba

1.  Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije .

2.  Uporabljati se začne ... (20) .

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V …,

Za Evropski parlament Za Svet

Predsednik Predsednik

Priloga - Predstavitev navedb iz člena 13a

(1)  Ob upoštevanju razmerij iz točke 6 se navedbe zagotovijo v naslednji obliki:

p0000001.png

(2)  Naslednje besede v vrsticah v drugem stolpcu preglednice v točki 1 z naslovom BISTVENE INFORMACIJE so izpisane s krepkim tiskom:

(a)  beseda „zbirajo“ v prvi vrstici drugega stolpca;

(b)  beseda „hranijo“ v drugi vrstici drugega stolpca;

(c)  beseda „obdelujejo“ v tretji vrstici drugega stolpca;

(d)  beseda „posredujejo“ v četrti vrstici drugega stolpca;

(e)  beseda „prodajajo in oddajajo“ v peti vrstici druge kolumne;

(f)  beseda „nešifrirani“ v šesti vrstici drugega stolpca;

(3)  Ob upoštevanju razmerij iz točke 6 se vrstice v tretjem stolpcu preglednice v točki 1 z naslovom IZPOLNJENO izpolnijo z enim od naslednjih grafičnih znakov v skladu s pogoji iz točke 4:

(a)

p0000002.png

(b)

p0000003.png

(4)

(a)  Če se osebni podatki ne zbirajo v večjem obsegu, kot je nujno potrebno za vsak posamezen namen obdelave, se v prvo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(b)  Če se osebni podatki zbirajo v večjem obsegu, kot je nujno potrebno za vsak posamezen namen obdelave, se v prvo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(c)  Če se osebni podatki ne hranijo dlje, kot je nujno potrebno za vsak posamezen namen obdelave, se v drugo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(d)  Če se osebni podatki hranijo dlje, kot je nujno potrebno za vsak posamezen namen obdelave, se v drugo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(e)  Če se osebni podatki ne obdelujejo za druge namene, razen tistih, za katere so bili zbrani, se v tretjo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(f)  Če se osebni podatki obdelujejo za druge namene, razen tistih, za katere so bili zbrani, se v tretjo vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(g)  Če se osebni podatki ne posredujejo komercialnim tretjim strankam, se v četrto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(h)  Če se osebni podatki posredujejo komercialnim tretjim strankam, se v četrto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(i)  Če se osebni podatki ne prodajajo ali oddajajo, se v peto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(j)  Če se osebni podatki prodajajo ali oddajajo, se v peto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(k)  Če se osebni podatki ne hranijo v nešifrirani obliki, se v šesto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3a.

(l)  Če se osebni podatki hranijo v nešifrirani obliki, se v šesto vrstico tretjega stolpca v preglednici v točki 1 vstavi grafični znak iz točke 3b.

(5)  Referenčni barvi grafičnih znakov v točki 1 v barvah Pantone sta Black Pantone št. 7547 in Red Pantone št. 485. Referenčna barva grafičnega znaka v točki 3a v barvah Pantone je Green Pantone št. 370. Referenčna barva grafičnega znaka v točki 3b v barvah Pantone je Red Pantone št. 485.

(6)  Razmerja iz spodnje mrežne risbe se ohranijo, tudi če je preglednica pomanjšana ali povečana.

p0000004.png

[Sprememba 207]

(1)UL C 229, 31.7.2012, str. 90 .
(2)UL C 192, 30.6.2012, str. 7.
(3) Stališče Evropskega parlamenta z dne 12. marca 2014.
(4)Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).
(5) Priporočilo Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro-, malih in srednje velikih podjetij (UL L 124, 20.5.2003, str. 36).
(6)Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov ( UL L 8, 12.1.2001, str. 1) .
(7) Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju) (UL L 178, 17.7.2000, str. 1).
(8) Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).
(9) Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).
(10) Direktiva 2009/38/ES Evropskega parlamenta in Sveta z dne 6. maja 2009 o ustanovitvi Evropskega sveta delavcev ali uvedbi postopka obveščanja in posvetovanja z delavci v družbah ali povezanih družbah na območju Skupnosti (prenovitev) (UL L 122, 16.5.2009, str. 28).
(11)Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije, ( UL L 55, 28.2.2011, str. 13) .
(12) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
(13)UL L 176, 10.7.1999, str. 36.
(14)UL L 53, 27.2.2008, str. 52.
(15)UL L 160, 18.6.2011, str. 21.
(16) Direktiva 2004/18/ES Evropskega parlamenta in Sveta z dne 31. marca 2004 o usklajevanju postopkov za oddajo javnih naročil gradenj, blaga in storitev (UL L 134, 30.4.2004, str. 114).
(17) Direktiva 2004/17/ES Evropskega parlamenta in Sveta z dne 31. marca 2004 o usklajevanju postopkov za oddajo javnih naročil naročnikov v vodnem, energetskem in transportnem sektorju ter sektorju poštnih storitev (UL L 134, 30.4.2004, str. 1).
(18) Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).
(19) Direktiva 2001/20/ES Evropskega parlamenta in Sveta z dne 4. aprila 2001 o približevanju zakonov in drugih predpisov držav članic v zvezi z izvajanjem dobre klinične prakse pri kliničnem preskušanju zdravil za ljudi (UL L 121, 1.5.2001, str. 34).
(20) Datum dve leti od začetka veljavnosti te Uredbe.

Zadnja posodobitev: 21. november 2017Pravno obvestilo