Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP)
-
POGLAVJE I – Splošne določbe
-
POGLAVJE II – Načela
- Člen 5 – Načela v zvezi z obdelavo osebnih podatkov
- Člen 6 – Zakonitost obdelave
- Člen 7 – Pogoji za privolitev
- Člen 8 – Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe
- Člen 9 – Obdelava posebnih vrst osebnih podatkov
- Člen 10 – Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški
- Člen 11 – Obdelava, ki ne zahteva identifikacije
-
POGLAVJE III – Pravice posameznika, na katerega se nanašajo osebni podatki
- Oddelek 1 – Preglednost in načini
-
Člen 12 – Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki
- Oddelek 2 – Informacije in dostop do osebnih podatkov
-
Člen 13 – Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki
Člen 14 – Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo
Člen 15 – Pravica dostopa posameznika, na katerega se nanašajo osebni podatki
- Oddelek 3 – Popravek in izbris
-
Člen 16 – Pravica do popravka
Člen 17 – Pravica do izbrisa (pravica do pozabe)
Člen 18 – Pravica do omejitve obdelave
Člen 19 – Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave
Člen 20 – Pravica do prenosljivosti podatkov
- Oddelek 4 – Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev
-
Člen 21 – Pravica do ugovora
Člen 22 – Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov
- Oddelek 5 – Omejitve
-
Člen 23 – Omejitve
-
POGLAVJE IV – Upravljavec in obdelovalec
- Oddelek 1 – Splošne obveznosti
-
Člen 24 – Odgovornost upravljavca
Člen 25 – Vgrajeno in privzeto varstvo podatkov
Člen 26 – Skupni upravljavci
Člen 27 – Predstavniki upravljavcev ali obdelovalcev, ki nimajo ustanovitve v Uniji
Člen 28 – Obdelovalec
Člen 29 – Obdelava pod vodstvom upravljavca ali obdelovalca
Člen 30 – Evidenca dejavnosti obdelave
Člen 31 – Sodelovanje z nadzornim organom
- Oddelek 2 – Varnost osebnih podatkov
-
Člen 32 – Varnost obdelave
Člen 33 – Obvestilo nadzornemu organu o kršitvi varnosti osebnih podatkov
Člen 34 – Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov
- Oddelek 3 – Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje
-
Člen 35 – Ocena učinka v zvezi z varstvom podatkov
Člen 36 – Predhodno posvetovanje
- Oddelek 4 – Pooblaščena oseba za varstvo podatkov
-
Člen 37 – Imenovanje pooblaščene osebe za varstvo podatkov
Člen 38 – Položaj pooblaščene osebe za varstvo podatkov
Člen 39 – Naloge pooblaščene osebe za varstvo podatkov
- Oddelek 5 – Kodeksi ravnanja in certificiranje
-
Člen 40 – Kodeksi ravnanja
Člen 41 – Spremljanje odobrenih kodeksov ravnanja
Člen 42 – Certificiranje
Člen 43 – Telesa za certificiranje
-
POGLAVJE V – Prenos osebnih podatkov v tretje države ali mednarodne organizacije
- Člen 44 – Splošno načelo za prenose
- Člen 45 – Prenosi na podlagi sklepa o ustreznosti
- Člen 46 – Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi
- Člen 47 – Zavezujoča poslovna pravila
- Člen 48 – Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje
- Člen 49 – Odstopanja v posebnih primerih
- Člen 50 – Mednarodno sodelovanje za varstvo osebnih podatkov
-
POGLAVJE VI – Neodvisni nadzorni organi
- Oddelek 1 – Status neodvisnosti
-
Člen 51 – Nadzorni organ
Člen 52 – Neodvisnost
Člen 53 – Splošni pogoji za člane nadzornega organa
Člen 54 – Pravila o ustanovitvi nadzornega organa
- Oddelek 2 – Pristojnost, naloge in pooblastila
-
Člen 55 – Pristojnost
Člen 56 – Pristojnosti vodilnega nadzornega organa
Člen 57 – Naloge
Člen 58 – Pooblastila
Člen 59 – Poročila o dejavnostih
-
POGLAVJE VII – Sodelovanje in skladnost
- Oddelek 1 – Sodelovanje
-
Člen 60 – Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi
Člen 61 – Medsebojna pomoč
Člen 62 – Skupno ukrepanje nadzornih organov
- Oddelek 2 – Skladnost
-
Člen 63 – Mehanizem za skladnost
Člen 64 – Mnenje odbora
Člen 65 – Reševanje sporov s strani odbora
Člen 66 – Nujni postopek
Člen 67 – Izmenjava informacij
- Oddelek 3 – Evropski odbor za varstvo podatkov
-
Člen 68 – Evropski odbor za varstvo podatkov
Člen 69 – Neodvisnost
Člen 70 – Naloge odbora
Člen 71 – Poročila
Člen 72 – Postopek
Člen 73 – Predsednik
Člen 74 – Naloge predsednika
Člen 75 – Sekretariat
Člen 76 – Zaupnost
-
POGLAVJE VIII – Pravna sredstva, odgovornost in kazni
- Člen 77 – Pravica do vložitve pritožbe pri nadzornem organu
- Člen 78 – Pravica do učinkovitega pravnega sredstva zoper nadzorni organ
- Člen 79 – Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca
- Člen 80 – Zastopanje posameznikov, na katere se nanašajo osebni podatki
- Člen 81 – Začasna ustavitev postopka
- Člen 82 – Pravica do odškodnine in odgovornost
- Člen 83 – Splošni pogoji za naložitev upravnih glob
- Člen 84 – Kazni
-
POGLAVJE IX – Določbe o posebnih primerih obdelave
- Člen 85 – Obdelava ter svoboda izražanja in obveščanja
- Člen 86 – Obdelava in dostop javnosti do uradnih dokumentov
- Člen 87 – Obdelava nacionalne identifikacijske številke
- Člen 88 – Obdelava v okviru zaposlitve
- Člen 89 – Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene
- Člen 90 – Obveznost varovanja skrivnosti
- Člen 91 – Veljavna pravila o varstvu podatkov cerkva in verskih združenj
-
POGLAVJE X – Delegirani akti in izvedbeni akti
-
POGLAVJE XI – Končne določbe
POGLAVJE I – Splošne določbe
Člen 1
Predmet urejanja in cilji
- 1. Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.
- 2. Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.
- 3. Prosti pretok osebnih podatkov v Uniji ne sme biti omejen ali prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.
Člen 2
Področje uporabe
- 1. Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.
- 2. Ta uredba se ne uporablja za obdelavo osebnih podatkov:
- (a) v okviru dejavnosti zunaj področja uporabe prava Unije;
- (b) s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V PEU;
- (c) s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti;
- (d) s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.
- 3. Za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije se uporablja Uredba (ES) št. 45/2001. Uredba (ES) št. 45/2001 in drugi pravni akti Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, se prilagodijo načelom in pravilom iz te uredbe v skladu s členom 98.
- 4. Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti v uporabo pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.
Člen 3
Ozemeljska veljavnost
- 1. Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.
- 2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima ustanovitve v Uniji, kadar so dejavnosti obdelave povezane:
- (a) z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali
- (b) s spremljanjem njihovega vedenja, kolikor to vedenje poteka v Uniji.
- 3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima ustanovitve v Uniji, temveč v kraju, kjer se pravo države članice uporablja na podlagi mednarodnega javnega prava.
Člen 4
Opredelitev pojmov
- V tej uredbi:
- (1)
osebni podatki
pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika; - (2)
obdelava
pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje; - (3)
omejitev obdelave
pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti; - (4)
oblikovanje profilov
pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika; - (5)
psevdonimizacija
pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku; - (6)
zbirka
pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; - (7)
upravljavec
pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice; - (8)
obdelovalec
pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca; - (9)
uporabnik
pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave; - (10)
tretja oseba
pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca; - (11)
privolitev
posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj; - (12)
kršitev varnosti osebnih podatkov
pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani; - (13)
genski podatki
pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika; - (14)
biometrični podatki
pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki; - (15)
podatki o zdravstvenem stanju
pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju; - (16)
glavnaustanovitev
pomeni:- (a) v zvezi z upravljavcem, ki ima ustanovitve v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugi ustanovitvi upravljavca v Uniji in ima ta ustanovitev pooblastila za izvajanje takih odločitev, ustanovitev, ki sprejema take odločitve;
- (b) v zvezi z obdelovalcem, ki ima ustanovitve v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, ustanovitev obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti ustanovitve obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;
- (17)
predstavnik
pomeni fizično ali pravno osebo z ustanovitvijo v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe; - (18)
podjetje
pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost; - (19)
povezana družba
pomeni obvladujočo družbo in njene odvisne družbe; - (20)
zavezujoča poslovna pravila
pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec z ustanovitvijo na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah; - (21)
nadzorni organ
pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica; - (22)
zadevni nadzorni organ
pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:- (a) ima upravljavec ali obdelovalec ustanovitev na ozemlju države članice tega nadzornega organa;
- (b) obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali
- (c) je bila vložena pritožba pri tem nadzornem organu;
- (23)
čezmejna obdelava osebnih podatkov
pomeni bodisi:- (a) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti ustanovitev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec ustanovitev v več kot eni državi članici, bodisi
- (b) obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edine ustanovitve upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;
- (24)
ustrezen in utemeljen ugovor
pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji; - (25)
storitev informacijske družbe
pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta1; - (26)
mednarodna organizacija
pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.
- (1)
POGLAVJE II – Načela
Člen 5
Načela v zvezi z obdelavo osebnih podatkov
- 1. Osebni podatki morajo biti:
- (a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (
zakonitost, poštenost in preglednost
); - (b) zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni (
omejitev namena
); - (c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (
najmanjši obseg podatkov
); - (d) točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (
točnost
); - (e) hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko hranijo daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (
omejitev hrambe
); - (f) obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (
celovitost in zaupnost
).
- (a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (
- 2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (
odgovornost
).
Člen 6
Zakonitost obdelave
- 1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
- (a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
- (b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
- (c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
- (d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
- (e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
- (f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
- Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
- 2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.
- 3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:
- (a) pravom Unije; ali
- (b) pravom države članice, ki velja za upravljavca.
- Namen obdelave se določi v navedeni pravni podlagi ali pa je v primeru obdelave iz točke (e) odstavka 1 potreben za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.
- 4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:
- (a) kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;
- (b) okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;
- (c) naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;
- (d) morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;
- (e) obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.
Člen 7
Pogoji za privolitev
- 1. Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
- 2. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.
- 3. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.
- 4. Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.
Člen 8
Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe
- 1. Kadar se uporablja točka (a) člena 6(1), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 16 let. Kadar je otrok mlajši od 16 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.
- Države članice lahko za te namene z zakonom določijo nižjo starost, če ta starost ni nižja od 13 let.
- 2. Upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih vloži razumen napor v preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.
- 3. Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, oblikovanju ali učinku pogodbe v zvezi z otrokom.
Člen 9
Obdelava posebnih vrst osebnih podatkov
- 1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
- 2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:
- (a) posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;
- (b) obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;
- (c) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
- (d) obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;
- (e) obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;
- (f) obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;
- (g) obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;
- (h) obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;
- (i) obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;
- (j) obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.
- 3. Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.
- 4. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem.
Člen 10
Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški
- Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 6(1) se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije ali pravo države članice, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Kakršni koli celoviti registri kazenskih obsodb se vodijo samo pod nadzorom uradnega organa.
Člen 11
Obdelava, ki ne zahteva identifikacije
- 1. Če upravljavec za namene, za katere obdeluje osebne podatke, ne potrebuje ali ne potrebuje več identifikacije posameznika, na katerega se nanašajo osebni podatki, upravljavec ni zavezan ohraniti, pridobiti ali obdelati dodatnih informacij, da bi identificiral posameznika, na katerega se nanašajo osebni podatki, samo zaradi zagotavljanja skladnosti s to uredbo.
- 2. Kadar lahko upravljavec v primerih iz odstavka 1 tega člena dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki, upravljavec o tem po možnosti ustrezno obvesti posameznika, na katerega se nanašajo osebni podatki. V takih primerih se členi 15 do 20 ne uporabljajo, razen kadar posameznik, na katerega se nanašajo osebni podatki, za uresničevanje svojih pravic na podlagi teh členov zagotovi dodatne informacije, s katerimi ga je mogoče identificirati.
POGLAVJE III – Pravice posameznika, na katerega se nanašajo osebni podatki
Oddelek 1 – Preglednost in načini
Člen 12
Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki
- 1. Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.
- 2. Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. V primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.
- 3. Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.
- 4. Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.
- 5. Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:
- (a) zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali
- (b) zavrne ukrepanje v zvezi z zahtevo.
- Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.
- 6. Brez poseganja v člen 11 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 15 do 21, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.
- 7. Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 13 in 14 se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.
- 8. Komisija je v skladu s členom 92 pooblaščena za sprejemanje delegiranih aktov z namenom določitve informacije, ki se navedejo v standardiziranih ikonah, in postopkov za določitev standardiziranih ikon.
Oddelek 2 – Informacije in dostop do osebnih podatkov
Člen 13
Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki
- 1. Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:
- (a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
- (b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
- (c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
- (d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
- (e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
- (f) kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.
- 2. Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:
- (a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- (b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
- (c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- (d) pravico do vložitve pritožbe pri nadzornem organu;
- (e) ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
- (f) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
- 3. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.
- 4. Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.
Člen 14
Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo
- 1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:
- (a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
- (b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
- (c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
- (d) vrste zadevnih osebnih podatkov;
- (e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
- (f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.
- 2. Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:
- (a) obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- (b) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
- (c) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;
- (c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- (e) pravico do vložitve pritožbe pri nadzornem organu;
- (f) od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in
- (g) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
- 3. Upravljavec zagotovi informacije iz odstavkov 1 in 2:
- (a) v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;
- (b) če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali
- (c) če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.
- 4. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.
- 5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:
- (a) posameznik, na katerega se nanašajo osebni podatki, že ima informacije;
- (b) se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;
- (c) je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali
- (d) morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s predpisanimi obveznostmi varovanja skrivnosti.
Člen 15
Pravica dostopa posameznika, na katerega se nanašajo osebni podatki
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
- (a) namene obdelave;
- (b) vrste zadevnih osebnih podatkov;
- (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
- (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
- (f) pravico do vložitve pritožbe pri nadzornem organu;
- (g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
- (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
- 2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.
- 3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.
- 4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.
Oddelek 3 – Popravek in izbris
Člen 16
Pravica do popravka
- Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.
Člen 17
Pravica do izbrisa (pravica do pozabe)
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
- (a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
- (b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
- (c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
- (d) osebni podatki so bili obdelani nezakonito;
- (e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
- (f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).
- 2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
- 3. Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:
- (a) za uresničevanje pravice do svobode izražanja in obveščanja;
- (b) za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
- (c) iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);
- (d) za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali
- (e) za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Člen 18
Pravica do omejitve obdelave
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:
- (a) posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
- (b) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
- (c) upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- (d) je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
- 2. Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.
- 3. Upravljavec pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki in ki je dosegel omejitev obdelave v skladu z odstavkom 1.
Člen 19
Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave
- Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
Člen 20
Pravica do prenosljivosti podatkov
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:
- (a) obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1), in
- (b) se obdelava izvaja z avtomatiziranimi sredstvi.
- 2. Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.
- 3. Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 17. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.
- 4. Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.
Oddelek 4 – Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev
Člen 21
Pravica do ugovora
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
- 2. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.
- 3. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.
- 4. Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavkov 1 in 2 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.
- 5. V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.
- 6. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.
Člen 22
Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.
- 2. Odstavek 1 se ne uporablja, če je odločitev:
- (a) nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;
- (b) dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali
- (c) utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.
- 3. V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.
- 4. Odločitve iz odstavka 2 ne temeljijo na posebnih vrstah osebnih podatkov iz člena 9(1), razen če se uporablja točka (a) ali (g) člena 9(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.
Oddelek 5 – Omejitve
Člen 23
Omejitve
- 1. Pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:
- (a) državne varnosti;
- (b) obrambe;
- (c) javne varnosti;
- (d) preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;
- (e) drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;
- (f) varstva neodvisnosti sodstva in sodnega postopka;
- (g) preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;
- (h) spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (e) in (g);
- (i) varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;
- (j) uveljavljanja civilnopravnih zahtevkov.
- 2. Zlasti vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj, kjer je ustrezno, glede:
- (a) namenov obdelave ali vrst obdelave;
- (b) vrst osebnih podatkov;
- (c) obsega uvedenih omejitev;
- (d) zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;
- (e) natančnejše ureditve upravljavca ali vrst upravljavcev;
- (f) obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave;
- (g) tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter
- (h) pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi, razen če bi to posegalo v namen omejitve.
POGLAVJE IV – Upravljavec in obdelovalec
Oddelek 1 – Splošne obveznosti
Člen 24
Odgovornost upravljavca
- 1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.
- 2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.
- 3. Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.
Člen 25
Vgrajeno in privzeto varstvo podatkov
- 1. Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.
- 2. Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.
- 3. Odobreni mehanizem certificiranja v skladu s členom 42 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.
Člen 26
Skupni upravljavci
- 1. Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.
- 2. Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.
- 3. Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.
Člen 27
Predstavniki upravljavcev ali obdelovalcev, ki nimajo ustanovitve v Uniji
- 1. Kadar se uporablja člen 3(2), upravljavec ali obdelovalec pisno določi predstavnika v Uniji.
- 2. Obveznost, določena v odstavku 1 tega člena, ne velja za:
- (a) obdelavo, ki je občasna in v velikem obsegu ne vključuje obdelave posebnih vrst podatkov iz člena 9(1) ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10 ter glede na njeno naravo, okoliščine, obseg in namene verjetno ne bo povzročila tveganja za pravice in svoboščine posameznikov, ali
- (b) javni organ ali telo.
- 3. Predstavnik ima ustanovitev v eni od držav članic, kjer so posamezniki, na katere se nanašajo osebni podatki, katerih osebni podatki se obdelujejo v zvezi s ponujanjem blaga ali storitev tem posameznikom ali katerih vedenje se spremlja.
- 4. Z namenom zagotavljanja skladnosti s to uredbo upravljavec ali obdelovalec pooblasti predstavnika, ki ga lahko v zvezi z vsemi vprašanji, povezanimi z obdelavo, poleg upravljavca ali obdelovalca ali namesto njega kontaktirajo zlasti nadzorni organi in posamezniki, na katere se nanašajo osebni podatki.
- 5. Določitev predstavnika s strani upravljavca ali obdelovalca ne posega v pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca ali obdelovalca.
Člen 28
Obdelovalec
- 1. Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.
- 2. Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.
- 3. Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:
- (a) osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
- (b) zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
- (c) sprejme vse ukrepe, potrebne v skladu s členom 32;
- (d) spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
- (e) ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
- (f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
- (g) v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
- (h) da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.
- V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.
- 4. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.
- 5. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 s strani obdelovalca se lahko uporabi kot element, s katerim se izkaže zagotavljanje zadostnih jamstev iz odstavkov 1 in 4 tega člena.
- 6. Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del certifikata, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.
- 7. Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).
- 8. Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.
- 9. Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.
- 10. Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.
Člen 29
Obdelava pod vodstvom upravljavca ali obdelovalca
- Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.
Člen 30
Evidenca dejavnosti obdelave
- 1. Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:
- (a) naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
- (b) namene obdelave;
- (c) opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
- (d) kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
- (e) kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
- (f) kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
- (g) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
- 2. Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:
- (a) naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
- (b) vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
- (c) kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
- (d) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
- 3. Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.
- 4. Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.
- 5. Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali če obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
Člen 31
Sodelovanje z nadzornim organom
- Upravljavec in obdelovalec ter, kadar obstajajo, njuni predstavniki, na zahtevo sodelujejo z nadzornim organom pri izvajanju njegovih nalog.
Oddelek 2 – Varnost osebnih podatkov
Člen 32
Varnost obdelave
- 1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
- (a) psevdonimizacijo in šifriranjem osebnih podatkov;
- (b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
- (c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- (d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
- 2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
- 3. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.
- 4. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.
Člen 33
Obvestilo nadzornemu organu o kršitvi varnosti osebnih podatkov
- 1. V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvesti pristojni nadzorni organ v skladu s členom 55, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.
- 2. Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.
- 3. Obvestilo iz odstavka 1 vsebuje vsaj:
- (a) opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
- (b) sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
- (c) opis verjetnih posledic kršitve varnosti osebnih podatkov;
- (d) opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.
- 4. Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
- 5. Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
Člen 34
Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov
- 1. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.
- 2. V sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in ukrepe iz točk (b), (c) in (d) člena 33(3).
- 3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:
- (a) upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varnosti, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;
- (b) upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;
- (c) to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
- 4. Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko nadzorni organ to od njega zahteva po preučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.
Oddelek 3 – Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje
Člen 35
Ocena učinka v zvezi z varstvom podatkov
- 1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.
- 2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.
- 3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:
- (a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
- (b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali
- (c) obsežnega sistematičnega spremljanja javno dostopnega območja.
- 4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.
- 5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.
- 6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.
- 7. Ocena zajema vsaj:
- (a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
- (b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
- (c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter
- (d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.
- 8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.
- 9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.
- 10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.
- 11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.
Člen 36
Predhodno posvetovanje
- 1. Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.
- 2. Kadar nadzorni organ meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, nadzorni organ v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler nadzorni organ ne pridobi informacij, ki jih je zahteval za namene posvetovanja.
- 3. Pri posvetovanju z nadzornim organom v skladu z odstavkom 1 upravljavec nadzornemu organu predloži:
- (a) kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;
- (b) namene in sredstva predvidene obdelave;
- (c) ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;
- (d) kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;
- (e) oceno učinka v zvezi z varstvom podatkov iz člena 35 in
- (f) vsakršne druge informacije, ki jih zahteva nadzorni organ.
- 4. Države članice se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, posvetujejo z nadzornim organom.
- 5. Ne glede na odstavek 1 lahko pravo države članice od upravljavcev zahteva, naj se posvetujejo z nadzornim organom in od njega prejmejo predhodno dovoljenje v zvezi z obdelavo s strani upravljavca z namenom izvajanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo v zvezi s socialnim varstvom in javnim zdravjem.
Oddelek 4 – Pooblaščena oseba za varstvo podatkov
Člen 37
Imenovanje pooblaščene osebe za varstvo podatkov
- 1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:
- (a) obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
- (b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
- (c) temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
- 2. Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.
- 3. Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.
- 4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.
- 5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.
- 6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.
- 7. Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.
Člen 38
Položaj pooblaščene osebe za varstvo podatkov
- 1. Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
- 2. Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.
- 3. Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.
- 4. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.
- 5. Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.
- 6. Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.
Člen 39
Naloge pooblaščene osebe za varstvo podatkov
- 1. Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:
- (a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;
- (b) spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;
- (c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;
- (d) sodelovanje z nadzornim organom;
- (e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.
- 2. Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave.
Oddelek 5 – Kodeksi ravnanja in certificiranje
Člen 40
Kodeksi ravnanja
- 1. Države članice, nadzorni organi, odbor in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.
- 2. Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:
- (a) poštene in pregledne obdelave;
- (b) zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;
- (c) zbiranje osebnih podatkov;
- (d) psevdonimizacije osebnih podatkov;
- (e) obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;
- (f) uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;
- (g) obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;
- (h) ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;
- (i) obveščanje nadzornih organov o kršitvah varnosti osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;
- (j) prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali
- (k) izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.
- 3. Poleg tega, da so h kodeksom ravnanja, ki so bili odobreni v skladu z odstavkom 5 tega člena in so splošno veljavni v skladu z odstavkom 9 tega člena, zavezani upravljavci ali obdelovalci, za katere se uporablja ta uredba, se k njim lahko zavežejo tudi upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, da se zagotovijo ustrezni zaščitni ukrepi v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (e) člena 46(2). Taki upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, vključno glede pravic posameznikov, na katere se nanašajo osebni podatki.
- 4. Kodeks ravnanja iz odstavka 2 tega člena vsebuje mehanizme, ki organu iz člena 41(1) omogočajo izvajanje obveznega spremljanja skladnosti z njegovimi določbami s strani upravljavcev ali obdelovalcev, ki se zavežejo k njegovi uporabi, brez poseganja v naloge in pooblastila nadzornih organov, pristojnih v skladu s členom 55 ali 56.
- 5. Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.
- 6. Kadar se osnutek kodeksa, sprememba ali razširitev odobri v skladu z odstavkom 5 in kadar se zadevni kodeks ravnanja ne nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ kodeks registrira in objavi.
- 7. Kadar se osnutek kodeksa ravnanja nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ, ki je pristojen v skladu s členom 55, pred odobritvijo osnutka kodeksa, spremembe ali razširitve predloži v postopek iz člena 63 odboru, ki poda mnenje o tem, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo oziroma v primeru iz odstavka 3 tega člena zagotavlja ustrezne zaščitne ukrepe.
- 8. Kadar mnenje iz odstavka 7 potrdi, da so osnutek kodeksa, spremembo ali razširitev skladni s to uredbo ali v primeru iz odstavka 3 zagotavljajo ustrezne zaščitne ukrepe, odbor svoje mnenje predloži Komisiji.
- 9. Komisija lahko z izvedbenimi akti sklene, da so odobren kodeks ravnanja, sprememba ali razširitev, ki so ji bili predloženi na podlagi odstavka 8 tega člena, v Uniji splošno veljavni. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
- 10. Komisija zagotovi ustrezno objavo odobrenih kodeksov, za katere je v skladu z odstavkom 9 sklenila, da so splošno veljavni.
- 11. Odbor zbira vse odobrene kodekse ravnanja, spremembe in razširitve v registru in jih objavi na ustrezne načine.
Člen 41
Spremljanje odobrenih kodeksov ravnanja
- 1. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja telo, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen akreditiral pristojni nadzorni organ.
- 2. Telo iz odstavka 1 se lahko akreditira za spremljanje skladnosti s kodeksom ravnanja, kadar je to telo:
- (a) pristojnemu nadzornemu organu zadovoljivo dokazalo neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;
- (b) vzpostavilo postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;
- (c) vzpostavilo postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in
- (d) pristojnemu nadzornemu organu zadovoljivo dokazalo, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.
- 3. Pristojni nadzorni organ osnutek zahtev za akreditacijo telesa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.
- 4. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII telo iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.
- 5. Pristojni nadzorni organ organu iz odstavka 1 akreditacijo prekliče, če zahteve za akreditacijo niso ali niso več izpolnjene ali kadar ukrepi, ki jih sprejme telo, kršijo to uredbo.
- 6. Ta člen se ne uporablja za obdelavo, ki jo izvajajo javni organi in telesa.
Člen 42
Certificiranje
- 1. Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Upoštevajo se posebne potrebe mikro, malih in srednjih podjetij.
- 2. Poleg tega, da se mehanizmi certificiranja, pečati ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za izkazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2). Takšni upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.
- 3. Certificiranje je prostovoljno in se zagotavlja v okviru postopka, ki je pregleden.
- 4. Certifikat v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.
- 5. Certifikat v skladu s tem členom izdajo telesa za certificiranje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno certificiranje, evropski pečat za varstvo podatkov.
- 6. Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem certificiranja, telesu za certificiranje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka certificiranja.
- 7. Certifikat se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevna merila še naprej izpolnjena. Telesa za certificiranje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, certifikat prekličejo, kadar merila v zvezi s certifikatom niso ali niso več izpolnjena.
- 8. Odbor zbira v registru vse mehanizme certificiranja ter pečate in označbe za varstvo podatkov in jih objavi na kakšne koli ustrezne načine.
Člen 43
Telesa za certificiranje
- 1. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 certifikat izdajo in podaljšajo telesa za certificiranje, ki imajo ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer po tem, ko obvestijo nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ta telesa za certificiranje akreditirana s strani enega ali obeh od naslednjih:
- (a) nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;
- (b) nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta2 v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.
- 2. Telesa za certificiranje iz odstavka 1 se lahko v skladu z navedenim odstavkom akreditirajo le, kadar so:
- (a) pristojnemu nadzornemu organu zadovoljivo izkazala svojo neodvisnost in strokovno znanje v zvezi z vsebino certificiranja;
- (b) se zavezala, da bodo izpolnjevala merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;
- (c) vzpostavila postopke za izdajo, redne preglede in preklic certificiranja, pečatov in označb za varstvo podatkov;
- (d) vzpostavila postopke in strukture za obravnavanje pritožb zaradi kršitev certificiranja ali načina, kako je certificiranje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter
- (e) pristojnemu nadzornemu organu zadovoljivo izkazala, da zaradi njihovih nalog in dolžnosti ne pride do nasprotja interesov.
- 3. Akreditacija telesa za certificiranje iz odstavkov 1 in 2 tega člena se opravi na podlagi zahtev, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru akreditacije iz točke (b) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki teles za certificiranje.
- 4. Telesa za certificiranje iz odstavka 1 so odgovorna za ustrezno ocenjevanje, ki privede do certifikata ali preklica takšnega certifikata, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Akreditacija se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če telo za certificiranje izpolnjuje zahteve, določene v tem členu.
- 5. Telesa za certificiranje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega certifikata.
- 6. Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru.
- 7. Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče akreditacijo telesu za certificiranje na podlagi odstavka 1 tega člena, kadar pogoji za akreditacijo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme telo za certificiranje, kršijo to uredbo.
- 8. Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme certificiranja za varstvo podatkov iz člena 42(1).
- 9. Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme certificiranja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov certificiranja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
POGLAVJE V – Prenos osebnih podatkov v tretje države ali mednarodne organizacije
Člen 44
Splošno načelo za prenose
- Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.
Člen 45
Prenosi na podlagi sklepa o ustreznosti
- 1. Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.
- 2. Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:
- (a) načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;
- (b) obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in
- (c) mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.
- 3. Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).
- 4. Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.
- 5. Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
- V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.
- 6. Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.
- 7. Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.
- 8. Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.
- 9. Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.
Člen 46
Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi
- 1. Kadar sklep v skladu s členom 45(3) ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.
- 2. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje nadzornih organov, zagotovijo s:
- (a) pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;
- (b) zavezujočimi poslovnimi pravili v skladu s členom 47;
- (c) standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 93(2);
- (d) standardnimi določili o varstvu podatkov, ki jih sprejme nadzorni organ in odobri Komisija v skladu s postopkom pregleda iz člena 93(2);
- (e) odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali
- (f) odobrenim mehanizmom certificiranja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.
- 3. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem ustreznega nadzornega organa zagotovijo tudi zlasti s:
- (a) pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali
- (b) določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.
- 4. Nadzorni organ v primerih iz odstavka 3 tega člena uporabi mehanizem za skladnost iz člena 63.
- 5. Dovoljenja države članice ali nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavna, dokler jih zadevni nadzorni organ ne spremeni, nadomesti ali razveljavi, če je to potrebno. Odločitve, ki jih je Komisija sprejela na podlagi člena 26(4) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi, če je to potrebno, z odločitvijo, sprejeto v skladu z odstavkom 2 tega člena.
Člen 47
Zavezujoča poslovna pravila
- 1. Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:
- (a) so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;
- (b) posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter
- (c) izpolnjujejo zahteve iz odstavka 2.
- 2. Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:
- (a) strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;
- (b) prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter navedbo zadevne tretje države ali držav;
- (c) njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;
- (d) uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;
- (e) pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;
- (f) sprejemanje odgovornosti s strani upravljavca ali obdelovalca z ustanovitvijo na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima ustanovitve v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;
- (g) kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;
- (h) naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;
- (i) pritožbene postopke;
- (j) mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;
- (k) mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;
- (l) mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);
- (m) mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in
- (n) ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.
- 3. Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
Člen 48
Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje
- Sodba sodišča in odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva prenos ali razkritje osebnih podatkov, se lahko prizna ali izvrši na kateri koli način le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico, brez poseganja v druge podlage za prenos v skladu s tem poglavjem.
Člen 49
Odstopanja v posebnih primerih
- 1. Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:
- (a) posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;
- (b) prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;
- (c) prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;
- (d) prenos je potreben zaradi pomembnih razlogov javnega interesa;
- (e) prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
- (f) prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
- (g) prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.
- Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponavljajoč, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.
- 2. Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.
- 3. Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.
- 4. Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.
- 5. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.
- 6. Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.
Člen 50
Mednarodno sodelovanje za varstvo osebnih podatkov
- Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:
- (a) oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;
- (b) zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;
- (c) vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;
- (d) spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.
POGLAVJE VI – Neodvisni nadzorni organi
Oddelek 1 – Status neodvisnosti
Člen 51
Nadzorni organ
- 1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).
- 2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.
- 3. Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki zadevne organe zastopa v odboru, in vzpostavi mehanizem, s katerim zagotovi, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 63.
- 4. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, do 25. maja 2018, in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.
Člen 52
Neodvisnost
- 1. Vsak nadzorni organ pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.
- 2. Član oziroma člani vsakega nadzornega organa pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo niso izpostavljeni niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.
- 3. Član ali člani vsakega nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.
- 4. Vsaka država članica zagotovi, da ima vsak nadzorni organi na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.
- 5. Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerjajo izključno član oziroma člani zadevnega nadzornega organa.
- 6. Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.
Člen 53
Splošni pogoji za člane nadzornega organa
- 1. Države članice zagotovijo, da vsakega člana nadzornega organa po preglednem postopku imenuje:
- — njihov parlament,
- — njihova vlada,
- — njihov voditelj ali
- — neodvisno telo, ki je na podlagi prava države članice pooblaščeno za imenovanje.
- 2. Vsak član ima kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.
- 3. Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali razrešitve v skladu s pravom zadevne države članice.
- 4. Član je razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.
Člen 54
Pravila o ustanovitvi nadzornega organa
- 1. Vsaka država članica z zakonom določi vse naslednje:
- (a) ustanovitev posameznega nadzornega organa;
- (b) kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;
- (c) pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;
- (d) trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 24. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;
- (e) ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo, in če je tako, za koliko mandatov;
- (f) pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.
- 2. Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali pravom države članice tako med svojim mandatom kot po njem dolžni varovati poklicne skrivnosti v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te uredbe.
Oddelek 2 – Pristojnost, naloge in pooblastila
Člen 55
Pristojnost
- 1. Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.
- 2. Kadar obdelavo izvajajo javni organi ali zasebna telesa, ki delujejo na podlagi točke (c) ali (e) člena 6(1), je pristojen nadzorni organ zadevne države članice. V takih primerih se člen 56 ne uporablja.
- 3. Nadzorni organi niso pristojni za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ.
Člen 56
Pristojnosti vodilnega nadzornega organa
- 1. Nadzorni organ glavne ali edine ustanovitve upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.
- 2. Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na ustanovitev v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.
- 3. Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec ustanovitev v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.
- 4. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).
- 5. Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.
- 6. Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.
Člen 57
Naloge
- 1. Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:
- (a) spremlja in zagotavlja uporabo te uredbe;
- (b) spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;
- (c) v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;
- (d) spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;
- (e) vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;
- (f) obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;
- (g) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;
- (h) izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;
- (i) spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;
- (j) sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);
- (k) vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);
- (l) svetuje glede dejanj obdelave iz člena 36(2);
- (m) spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);
- (n) spodbuja vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila certificiranja v skladu s členom 42(5);
- (o) kadar je ustrezno, izvaja redne preglede certifikatov, izdanih v skladu s členom 42(7);
- (p) oblikuje in objavi zahteve za akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;
- (q) opravi akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;
- (r) odobri pogodbena določila in določbe iz člena 46(3);
- (s) odobri zavezujoča poslovna pravila v skladu s členom 47;
- (t) prispeva k dejavnostim odbora;
- (u) hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter
- (v) opravlja vse druge naloge, povezane z varstvom osebnih podatkov.
- 2. Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.
- 3. Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.
- 4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na administrativne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.
Člen 58
Pooblastila
- 1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:
- (a) da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;
- (b) da izvaja preiskave v obliki pregledov na področju varstva podatkov;
- (c) da izvaja preglede certifikatov, izdanih v skladu s členom 42(7);
- (d) da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;
- (e) da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;
- (f) da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.
- 2. Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:
- (a) da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;
- (b) da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;
- (c) da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;
- (d) da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;
- (e) da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varnosti osebnih podatkov;
- (f) da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;
- (g) da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;
- (h) da prekliče certifikat ali telesu za certificiranje odredi preklic certifikata, izdanega v skladu s členoma 42 in 43, ali da telesu za certificiranje odredi, naj ne izda certifikata, kadar zahteve v zvezi s certifikatom niso ali niso več izpolnjene;
- (i) da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;
- (j) da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.
- 3. Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:
- (a) da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;
- (b) da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;
- (c) da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;
- (d) da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);
- (e) da akreditira telesa za certificiranje v skladu s členom 43;
- (f) da izdaja certifikate in odobri merila za certificiranje v skladu s členom 42(5);
- (g) da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);
- (h) da odobri pogodbena določila iz točke (a) člena 46(3);
- (i) da odobri upravne dogovore iz točke (b) člena 46(3);
- (j) da odobri zavezujoča poslovna pravila v skladu s členom 47.
- 4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.
- 5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.
- 6. Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.
Člen 59
Poročila o dejavnostih
- Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih ukrepov v skladu s členom 58(2). Ta poročila se predloži nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.
POGLAVJE VII – Sodelovanje in skladnost
Oddelek 1 – Sodelovanje
Člen 60
Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi
- 1. Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.
- 2. Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem z ustanovitvijo v drugi državi članici.
- 3. Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.
- 4. Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.
- 5. Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.
- 6. Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.
- 7. Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavno ali edino ustanovitev upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in odboru. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.
- 8. Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.
- 9. Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. Vodilni nadzorni organ sprejme odločitev o delu, ki se nanaša na ukrepe, povezane z upravljavcem, o njej uradno obvesti glavno ali edino ustanovitev upravljavca ali obdelovalca na ozemlju države članice, za katero je pristojen, sporoči pa jo tudi pritožniku, nadzorni organ pritožnika pa sprejme odločitev o delu, ki se nanaša na zavržbo ali zavrnitev pritožbe, in o njej uradno obvesti zadevnega pritožnika, sporoči pa jo tudi upravljavcu ali obdelovalcu.
- 10. Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih ustanovitev v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.
- 11. V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.
- 12. Vodilni nadzorni organ in drugi zadevni nadzorni organi drug drugemu z elektronskimi sredstvi posredujejo zahtevane informacije iz tega člena v standardizirani obliki.
Člen 61
Medsebojna pomoč
- 1. Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.
- 2. Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.
- 3. Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.
- 4. Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:
- (a) ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali
- (b) bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.
- 5. Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.
- 6. Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.
- 7. Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah.
- 8. Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.
- 9. Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
Člen 62
Skupno ukrepanje nadzornih organov
- 1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.
- 2. Kadar ima upravljavec ali obdelovalec ustanovitve v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. Pristojni nadzorni organ, ki je pristojen na podlagi člena 56(1) ali (4), k sodelovanju pri skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se brez odlašanja odzove na zahtevo nadzornega organa za sodelovanje.
- 3. Nadzorni organ lahko v skladu s pravom držav članic in z dovoljenjem nadzornega organa druge države članice dodeli pooblastila, tudi preiskovalna, članom ali osebju nadzornega organa druge države članice, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu države članice nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa druge države članice dovoli izvajanje njihovih preiskovalnih pooblastil v skladu s pravom države članice nadzornega organa druge države članice. Takšna preiskovalna pooblastila se lahko izvajajo samo pod vodstvom in v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja pravo države članice nadzornega organa gostitelja.
- 4. Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, vključno z odgovornostjo za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.
- 5. Država članica, na ozemlju katere je bila povzročena škoda, tako škodo poravna pod pogoji, ki veljajo za škodo, ki jo povzroči njeno lastno osebje. Država članica nadzornega organa druge države članice, katere osebje povzroči škodo kateri koli osebi na ozemlju druge države članice, tej drugi državi članici v celoti povrne vse zneske, ki jih je ta izplačala upravičenim osebam.
- 6. V primeru iz odstavka 1 vsaka država članica brez poseganja v uresničevanje svojih pravic do tretjih oseb in z izjemo odstavka 5 od druge države članice ne zahteva povračila škode iz odstavka 4.
- 7. Kadar se načrtuje skupno ukrepanje in nadzorni organ v enem mesecu ne izpolni obveznosti iz drugega stavka odstavka 2 tega člena, lahko drugi nadzorni organi v skladu s členom 55 sprejmejo začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujno mnenje ali nujna zavezujoča odločitev odbora.
Oddelek 2 – Skladnost
Člen 63
Mehanizem za skladnost
- Da bi prispevali k dosledni uporabi te uredbe v vsej Uniji, nadzorni organi sodelujejo med seboj in po potrebi s Komisijo, in sicer prek mehanizma za skladnost, kakor je določen v tem oddelku.
Člen 64
Mnenje odbora
- 1. Odbor izda mnenje, kadar pristojni nadzorni organ namerava sprejeti katerega koli od ukrepov v nadaljevanju. V ta namen pristojni nadzorni organ posreduje osnutek odločitve odboru, ko:
- (a) je namenjen sprejetju seznama dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);
- (b) zadeva vprašanje v skladu s členom 40(7), in sicer, ali je osnutek kodeksa ravnanja oziroma sprememba ali razširitev v skladu s to uredbo;
- (c) je namenjen odobritvi zahtev za akreditacijo organa v skladu s členom 41(3), telesa za certificiranje v skladu s členom 43(3) ali meril za certificiranje iz člena 42(5);
- (d) je namenjen določitvi standardnih določil o varstvu podatkov iz točke (d) člena 46(2) in iz člena 28(8);
- (e) je namenjen odobritvi pogodbenih določil iz točke (a) člena 46(3), ali
- (f) je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 47.
- 2. Kateri koli nadzorni organ, predsednik odbora ali Komisija lahko zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči odbor, ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 ali glede skupnega ukrepanja v skladu s členom 62.
- 3. V primerih iz odstavkov 1 in 2 odbor izda mnenje o vsebini, ki mu je predložena, če o isti zadevi ni že izdal mnenja. To mnenje se sprejme v osmih tednih z navadno večino članov odbora. To obdobje se lahko glede na kompleksnost vsebine podaljša za šest tednov. Kar zadeva osnutek odločitve iz odstavka 5, razposlan članom odbora v skladu z odstavkom 6, velja, da se član, ki ne izrazi nasprotovanja v razumnem roku, ki ga določi predsednik, strinja z osnutkom odločitve.
- 4. Nadzorni organi in Komisija odboru brez nepotrebnega odlašanja z elektronskimi sredstvi v standardizirani obliki sporočijo vse zadevne informacije, po potrebi vključno s povzetkom dejstev, osnutkom odločitve, razlogi, zaradi katerih je sprejetje takšnega ukrepa potrebno, in mnenji drugih zadevnih nadzornih organov.
- 5. Predsednik odbora brez nepotrebnega odlašanja z elektronskimi sredstvi obvesti:
- (a) člane odbora in Komisijo o vseh zadevnih informacijah, ki jih je prejel v standardizirani obliki. Sekretariat odbora po potrebi zagotovi prevode pomembnih informacij, in
- (b) nadzorni organ iz odstavka 1 oziroma 2 in Komisijo o mnenju, ki ga tudi objavi.
- 6. Pristojni nadzorni organ iz odstavka 1 v roku iz odstavka 3 ne sprejme osnutka odločitve iz odstavka 1.
- 7. Pristojni nadzorni organ iz odstavka 1 čim bolj upošteva mnenje odbora in v dveh tednih po prejemu mnenja predsednika odbora z elektronskimi sredstvi v standardizirani obliki obvesti, ali bo ohranil ali spremenil svoj osnutek odločitve in spremenjeni osnutek odločitve, če obstaja.
- 8. Kadar pristojni nadzorni organ iz odstavka 1 v obdobju iz odstavka 7 tega člena obvesti predsednika odbora, da v celoti ali deloma ne namerava upoštevati mnenja odbora, in to ustrezno utemelji, se uporabi člen 65(1).
Člen 65
Reševanje sporov s strani odbora
- 1. Da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, odbor sprejme zavezujočo odločitev v naslednjih primerih:
- (a) kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega nadzornega organa ter se vodilni nadzorni organ z ugovorom ni strinjal ali je tak ugovor zavrnil kot neustrezen ali neutemeljen. Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;
- (b) kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavno ustanovitev;
- (c) kadar pristojni nadzorni organ ne zaprosi za mnenje odbora v primerih iz člena 64(1) ali ne upošteva mnenja odbora, izdanega na podlagi člena 64. V tem primeru lahko kateri koli zadevni nadzorni organ ali Komisija zadevo posreduje odboru.
- 2. Odločitev iz odstavka 1 se sprejme v enem mesecu od predložitve vsebine z dvotretjinsko večino članov odbora. To obdobje se lahko zaradi kompleksnosti vsebine podaljša za en mesec. Odločitev iz odstavka 1 se utemelji ter naslovi na vodilni nadzorni organ in vse zadevne nadzorne organe ter je za vse zavezujoča.
- 3. Kadar odboru v obdobjih iz odstavka 2 ne uspe sprejeti odločitve, sprejme odločitev v dveh tednih po izteku drugega meseca iz odstavka 2, in sicer z navadno večino članov odbora. Kadar so glasovi članov odbora izenačeni, se odločitev sprejme z glasovanjem predsednika odbora.
- 4. Zadevni nadzorni organi ne sprejmejo odločitve o vsebini, predloženi odboru v skladu z odstavkom 1, v obdobjih iz odstavkov 2 in 3.
- 5. Predsednik odbora zadevne nadzorne organe brez nepotrebnega odlašanja uradno obvesti o odločitvi iz odstavka 1. O tem obvesti Komisijo. Odločitev se brez odlašanja objavi na spletnem mestu odbora, potem ko nadzorni organ uradno sporoči končno odločitev iz odstavka 6.
- 6. Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, končno odločitev sprejme na podlagi odločitve iz odstavka 1 tega člena, brez nepotrebnega odlašanja in najpozneje en mesec po uradnem posredovanju odločitve odbora. Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, obvesti odbor o datumu, ko so upravljavec ali obdelovalec in posameznik, na katerega se nanašajo osebni podatki, uradno obveščeni o njegovi končni odločitvi. Končna odločitev zadevnih nadzornih organov se sprejme pod pogoji iz člena 60(7), (8) in (9). Končna odločitev se nanaša na odločitev iz odstavka 1 tega člena, v njej pa je navedeno, da se odločitev iz odstavka 1 objavi na spletnem mestu odbora v skladu z odstavkom 5 tega člena. Končni odločitvi je priložena odločitev iz odstavka 1 tega člena.
Člen 66
Nujni postopek
- 1. V izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, lahko z odstopanjem od mehanizma za skladnost iz členov 63, 64 in 65 ali postopka iz člena 60 brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev. Nadzorni organ o teh ukrepih in razlogih za njihovo sprejetje nemudoma obvesti druge zadevne nadzorne organe, odbor in Komisijo.
- 2. Kadar je nadzorni organ sprejel ukrep v skladu z odstavkom 1 in meni, da je treba končne ukrepe nujno sprejeti, lahko zahteva nujno mnenje ali nujno zavezujočo odločitev odbora, pri čemer navede razloge za tako mnenje ali odločitev.
- 3. Kadar pristojni nadzorni organ ni sprejel ustreznega ukrepa, ko je ukrepanje nujno, lahko kateri koli nadzorni organ od odbora zahteva nujno mnenje oziroma nujno zavezujočo odločitev, da se zaščitijo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, pri čemer utemelji zahtevo po izdaji takega mnenja ali sprejetju take odločitve, tudi glede nujnosti ukrepanja.
- 4. Z odstopanjem od člena 64(3) in člena 65(2) se nujno mnenje ali nujna zavezujoča odločitev iz odstavkov 2 in 3 tega člena sprejme v dveh tednih z navadno večino članov odbora.
Člen 67
Izmenjava informacij
- Komisija lahko sprejme izvedbene akte, ki se splošno uporabljajo, s katerimi določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz člena 64.
- Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).
Oddelek 3 – Evropski odbor za varstvo podatkov
Člen 68
Evropski odbor za varstvo podatkov
- 1. Evropski odbor za varstvo podatkov (v nadaljnjem besedilu: odbor) se ustanovi kot organ Unije in je pravna oseba.
- 2. Odbor zastopa njegov predsednik.
- 3. Odbor sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.
- 4. Kadar je v državi članici za spremljanje uporabe določb na podlagi te uredbe pristojnih več nadzornih organov, se v skladu s pravom te države članice imenuje skupni predstavnik.
- 5. Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih odbora, nima pa glasovalne pravice. Komisija imenuje svojega predstavnika. Predsednik odbora obvesti Komisijo o dejavnostih odbora.
- 6. V primerih iz člena 65 ima Evropski nadzornik za varstvo podatkov glasovalno pravico le pri odločitvah v zvezi z načeli in pravili, ki se uporabljajo za institucije, organe, urade in agencije Unije ter po vsebini ustrezajo načelom in pravilom iz te uredbe.
Člen 69
Neodvisnost
- 1. Odbor pri opravljanju nalog ali izvajanju pooblastil na podlagi členov 70 in 71 deluje neodvisno.
- 2. Brez poseganja v zahteve Komisije iz člena 70(1) in (2) odbor pri opravljanju svojih nalog ali izvajanju svojih pooblastil nikogar ne prosi za navodila niti jih od nikogar ne sprejema.
Člen 70
Naloge odbora
- 1. Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:
- (a) spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;
- (b) svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;
- (c) svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;
- (d) izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);
- (e) na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;
- (f) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);
- (g) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varnosti osebnih podatkov in opredelitev izraza
nepotrebno odlašanje
iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži obvestilo o kršitvi varnosti osebnih podatkov; - (h) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varnosti osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);
- (i) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;
- (j) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);
- (k) pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;
- (l) pregleda praktično uporabo smernic, priporočil in najboljših praks;
- (m) izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);
- (n) spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;
- (o) odobri merila za certificiranje v skladu s členom 42(5) ter vodi javni register mehanizmov certificiranja ter pečatov in označb v skladu s členom 42(8) ter potrjenih upravljavcev ali obdelovalcev, ustanovljenih v tretjih državah v skladu s členom 42(7);
- (p) odobri zahteve iz člena 43(3) za namene akreditacije teles za certificiranje iz člena 43;
- (q) Komisiji predloži mnenje o zahtevah glede certificiranja iz člena 43(8);
- (r) Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);
- (s) Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;
- (t) izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;
- (u) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;
- (v) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;
- (w) spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.
- (x) izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in
- (y) vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.
- 2. Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.
- 3. Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.
- 4. Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.
Člen 71
Poročila
- 1. Odbor pripravi letno poročilo o varstvu posameznikov v zvezi z obdelavo v Uniji ter po potrebi tretjih državah in mednarodnih organizacijah. Poročilo se objavi in posreduje Evropskemu parlamentu, Svetu in Komisiji.
- 2. Letno poročilo vključuje pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (l) člena 70(1) ter zavezujočih odločitev iz člena 65.
Člen 72
Postopek
- 1. Odbor odločitve sprejema z navadno večino članov, razen če je v tej uredbi določeno drugače.
- 2. Odbor sprejme svoj poslovnik z dvotretjinsko večino svojih članov in določi svoj način delovanja.
Člen 73
Predsednik
- 1. Odbor izmed svojih članov z navadno večino izvoli predsednika in dva namestnika predsednika.
- 2. Mandat predsednika in namestnikov predsednika je pet let in se lahko enkrat podaljša.
Člen 74
Naloge predsednika
- 1. Naloge predsednika so:
- (a) sklicevanje sestankov odbora in priprava dnevnega reda;
- (b) uradno sporočanje odločitev, ki jih v skladu s členom 65 sprejme odbor, vodilnemu nadzornemu organu in zadevnim nadzornim organom;
- (c) zagotavljanje pravočasne izpolnitve nalog odbora, zlasti v zvezi z mehanizmom za skladnost iz člena 63.
- 2. Odbor v svojem poslovniku določi razdelitev nalog med predsednikom in namestnikoma predsednika.
Člen 75
Sekretariat
- 1. Odboru pomaga sekretariat, ki ga zagotovi Evropski nadzornik za varstvo podatkov.
- 2. Sekretariat opravlja svoje naloge izključno po navodilih predsednika odbora.
- 3. Linija poročanja osebja Evropskega nadzornika za varstvo podatkov, ki opravlja naloge, ki so v skladu s to uredbo dodeljene odboru, je ločena od linije poročanja osebja, ki opravlja naloge, dodeljene Evropskemu nadzorniku za varstvo podatkov.
- 4. Kjer je to ustrezno, odbor in Evropski nadzornik za varstvo podatkov pripravita in objavita memorandum o soglasju o izvajanju tega člena, v katerem so določeni pogoji njunega sodelovanja in ki ga uporablja osebje Evropskega nadzornika za varstvo podatkov, ki opravlja naloge, ki so s to uredbo dodeljene odboru.
- 5. Sekretariat zagotavlja analitično, upravno in logistično podporo odboru.
- 6. Sekretariat je odgovoren zlasti za:
- (a) vsakodnevno poslovanje odbora;
- (b) komunikacijo med člani odbora, njegovim predsednikom in Komisijo;
- (c) komunikacijo z drugimi institucijami in javnostjo;
- (d) uporabo elektronskih sredstev za notranjo in zunanjo komunikacijo;
- (e) prevod pomembnih informacij;
- (f) pripravo sestankov odbora in nadaljnje ukrepanje po njih;
- (g) pripravo, oblikovanje osnutkov ter objavo mnenj, odločitev o reševanju sporov med nadzornimi organi in drugih besedil, ki jih sprejme odbor.
Člen 76
Zaupnost
- 1. Kakor je določeno v poslovniku odbora, so razprave odbora zaupne, kadar ta meni, da je to potrebno.
- 2. Dostop do dokumentov, predloženih članom odbora, strokovnjakom in predstavnikom tretjih oseb, ureja Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta3.
POGLAVJE VIII – Pravna sredstva, odgovornost in kazni
Člen 77
Pravica do vložitve pritožbe pri nadzornem organu
- 1. Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.
- 2. Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.
Člen 78
Pravica do učinkovitega pravnega sredstva zoper nadzorni organ
- 1. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.
- 2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.
- 3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ ustanovitev.
- 4. Kadar je začet postopek zoper odločitev nadzornega organa, v zvezi s katero je odbor pred tem sprejel mnenje ali odločitev v okviru mehanizma za skladnost, nadzorni organ to mnenje ali odločitev posreduje sodišču.
Člen 79
Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca
- 1. Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.
- 2. Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri ima upravljavec ali obdelovalec ustanovitev. Alternativno so za takšne postopke pristojna tudi sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec ali obdelovalec javni organ države članice, ki izvaja svoja javna pooblastila.
Člen 80
Zastopanje posameznikov, na katere se nanašajo osebni podatki
- 1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.
- 2. Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.
Člen 81
Začasna ustavitev postopka
- 1. Kadar ima pristojno sodišče države članice informacije, da na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, stopi v stik z zadevnim sodiščem v drugi državi članici, da potrdi obstoj takega postopka.
- 2. Kadar na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, lahko katero koli pristojno sodišče, razen sodišča, pred katerim se je postopek najprej začel, začasno ustavi postopek.
- 3. Kadar ti postopki tečejo na sodiščih prve stopnje, se lahko katero koli sodišče, razen sodišča, pred katerim se je postopek najprej začel, na zahtevo ene od strank prav tako izreče za nepristojno, če je sodišče, pred katerim se je postopek najprej začel, pristojno za odločanje v zadevnih postopkih in če nacionalno pravo dovoljuje združitev postopkov.
Člen 82
Pravica do odškodnine in odgovornost
- 1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.
- 2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.
- 3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.
- 4. Kadar so v isto obdelavo vključeni več kot en upravljavec ali obdelovalec ali sta vključena oba, upravljavec in obdelovalec in kadar so ti na podlagi odstavkov 2 in 3 odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo, da se zagotovi, da posameznik, na katerega se nanašajo osebni podatki, prejme učinkovito odškodnino.
- 5. Kadar je upravljavec ali obdelovalec v skladu z odstavkom 4 plačal celotno odškodnino za nastalo škodo, je ta upravljavec ali obdelovalec upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo v skladu s pogoji iz odstavka 2.
- 6. Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine so pristojna sodišča, ki so pristojna na podlagi prava države članice iz člena 79(2).
Člen 83
Splošni pogoji za naložitev upravnih glob
- 1. Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.
- 2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:
- (a) narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;
- (b) ali je kršitev naklepna ali posledica malomarnosti;
- (c) vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;
- (d) stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;
- (e) vse zadevne predhodne kršitve upravljavca ali obdelovalca;
- (f) stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;
- (g) vrste osebnih podatkov, ki jih zadeva kršitev,
- (h) kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;
- (i) kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;
- (j) zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom certificiranja v skladu s členom 42, in
- (k) morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.
- 3. Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.
- 4. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:
- (a) obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;
- (b) obveznosti telesa za certificiranje v skladu s členoma 42 in 43;
- (c) obveznosti organa za spremljanje v skladu s členom 41(4).
- 5. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:
- (a) osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;
- (b) pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;
- (c) prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;
- (d) katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;
- (e) neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).
- 6. V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.
- 7. Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom z ustanovitvijo v zadevni državi članici naložijo upravne globe.
- 8. Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.
- 9. Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.
Člen 84
Kazni
- 1. Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.
- 2. Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme na podlagi odstavka 1, do 25. maja 2018 in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva
POGLAVJE IX – Določbe o posebnih primerih obdelave
Člen 85
Obdelava ter svoboda izražanja in obveščanja
- 1. Države članice z zakonom usklajujejo pravico do varstva osebnih podatkov na podlagi te uredbe s pravico do svobode izražanja in obveščanja, vključno z obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja.
- 2. Za obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja države članice določijo izjeme ali odstopanja od poglavja II (načela), poglavja III (pravice posameznika, na katerega se nanašajo osebni podatki), poglavja IV (upravljavec in obdelovalec), poglavja V (prenos osebnih podatkov v tretje države ali mednarodne organizacije), poglavja VI (neodvisni nadzorni organi), poglavja VII (sodelovanje in skladnost) in poglavja IX (posebni primeri obdelave podatkov), če so potrebni za uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja.
- 3. Vsaka država članica Komisijo uradno obvesti o določbah zakonov, ki jih sprejme v skladu z odstavkom 2, brez odlašanja pa tudi o vsakršni naknadni spremembi teh predpisov ali spremembah, ki nanje vplivajo.
Člen 86
Obdelava in dostop javnosti do uradnih dokumentov
- Javni organ oziroma javno ali zasebno telo lahko v skladu s pravom Unije ali pravom države članice, ki velja za javni organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se uskladi dostop javnosti do uradnih dokumentov s pravico do varstva osebnih podatkov v skladu s to uredbo.
Člen 87
Obdelava nacionalne identifikacijske številke
- Države članice lahko dodatno določijo posebne pogoje za obdelavo nacionalne identifikacijske številke ali katerega koli drugega identifikatorja, ki se splošno uporablja. V tem primeru se nacionalna identifikacijska številka ali kateri koli drug identifikator, ki se splošno uporablja, uporablja le z ustreznimi zaščitnimi ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.
Člen 88
Obdelava v okviru zaposlitve
- 1. Države članice lahko v zakonu ali kolektivnih pogodbah določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, varstva lastnine zaposlenih ali potrošnikov in za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.
- 2. Ta pravila vključujejo ustrezne in posebne ukrepe za zaščito človeškega dostojanstva, zakonitih interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, s posebnim poudarkom na preglednosti obdelave, prenosu osebnih podatkov v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ter sistemih spremljanja na delovnem mestu.
- 3. Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme v skladu z odstavkom 1, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.
Člen 89
Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene
- 1. Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo podatki, se ti nameni uresničijo na ta način.
- 2. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.
- 3. Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18, 19, 20 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, če bi takšne pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.
- 4. Kadar vrsta obdelave iz odstavkov 2 in 3 hkrati izpolnjuje tudi drug namen, se dovoljena odstopanja uporabijo le za obdelavo v namene iz navedenih odstavkov.
Člen 90
Obveznost varovanja skrivnosti
- 1. Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.
- 2. Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.
Člen 91
Veljavna pravila o varstvu podatkov cerkva in verskih združenj
- 1. Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo celovita pravila v zvezi z varstvom posameznikov pri obdelavi, ta pravila lahko veljajo še naprej, če se uskladijo s to uredbo.
- 2. Cerkve in verska združenja, ki uporabljajo celovita pravila v skladu z odstavkom 1 tega člena, nadzira neodvisen nadzorni organ, ki je lahko poseben organ, če izpolnjuje pogoje iz poglavja VI te uredbe.
POGLAVJE X – Delegirani akti in izvedbeni akti
Člen 92
Izvajanje prenosa pooblastila
- 1. Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.
- 2. Pooblastilo iz člena 12(8) in člena 43(8) se prenese na Komisijo za nedoločen čas od 24. maja 2016.
- 3. Prenos pooblastila iz člena 12(8) in člena 43(8) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.
- 4. Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.
- 5. Delegirani akt, sprejet na podlagi člena 12(8) in člena 43(8), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku treh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za tri mesece.
Člen 93
Postopek v odboru
- 1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.
- 2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.
- 3. Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 Uredbe.
POGLAVJE XI – Končne določbe
Člen 94
Razveljavitev Direktive 95/46/ES
- 1. Direktiva 95/46/ES se razveljavi z učinkom od 25. maja 2018.
- 2. Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. Sklicevanja na Delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljeno s členom 29 Direktive 95/46/ES, se štejejo kot sklicevanja na Evropski odbor za varstvo podatkov, ustanovljen s to uredbo.
Člen 95
Razmerje z Direktivo 2002/58/ES
- Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.
Člen 96
Razmerje s predhodno sklenjenimi sporazumi
- Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 24. majem 2016 ter so skladni s pravom Unije, ki se je uporabljalo pred navedenim datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.
Člen 97
Poročila Komisije
- 1. Komisija do 25. maja 2020 in nato vsaka štiri leta Evropskemu parlamentu in Svetu predloži poročila o vrednotenju in pregledu te uredbe. Ta poročila se objavijo.
- 2. Komisija pri vrednotenju in pregledih iz odstavka 1 preveri zlasti uporabo in delovanje:
- (a) poglavja V o prenosu osebnih podatkov v tretje države ali mednarodne organizacije, s posebnim poudarkom na odločitvah, sprejetih v skladu s členom 45(3) te uredbe, in odločitvah, sprejetih na podlagi člena 25(6) Direktive 95/46/ES;
- (b) poglavja VII o sodelovanju in skladnosti.
- 3. Komisija lahko za namen iz odstavka 1 zahteva informacije od držav članic in nadzornih organov.
- 4. Komisija pri izvajanju vrednotenja in pregledov iz odstavkov 1 in 2 upošteva stališča in ugotovitve Evropskega parlamenta, Sveta ter drugih ustreznih organov ali virov.
- 5. Komisija po potrebi predloži ustrezne predloge za spremembo te uredbe, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na stanje napredka v informacijski družbi.
Člen 98
Pregled drugih pravnih aktov Unije o varstvu podatkov
- Komisija po potrebi predloži zakonodajne predloge za spremembo drugih pravnih aktov Unije o varstvu osebnih podatkov, da se zagotovi enotno in skladno varstvo posameznikov pri obdelavi. To zlasti zadeva pravila o varstvu posameznikov pri obdelavi s strani institucij, organov, uradov in agencij Unije ter pravila o prostem pretoku takšnih podatkov.
Člen 99
Začetek veljavnosti in uporaba
- 1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
- 2. Uporablja se od 25. maja 2018.