interactive GDPR 2016/0679 HR

1. Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

2. Ova se Uredba ne odnosi na obradu osobnih podataka:

(a)	tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)	koju obavljaju države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene glave V. poglavlja 2. UEU-a;

(c)	koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti;

(d)	koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.

3. Na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije primjenjuje se Uredba (EZ) br. 45/2001. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka moraju se prilagoditi načelima i pravilima ove Uredbe u skladu s člankom 98.

4. Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ, osobito pravilâ o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. te direktive.

Članak 3.

Teritorijalno područje primjene

1. Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne.

2. Ova se Uredba primjenjuje na obradu osobnih podataka ispitanikâ u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s:

(a)	nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili

(b)	praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.

3. Ova se Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava.

Članak 4.

Definicije

Za potrebe ove Uredbe:

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.	„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.	„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

8.	„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

10.	„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

11.	„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

12.	„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

13.	„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

14.	„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

15.	„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

16.

„glavni poslovni nastan” znači:

(a)

što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem seslučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;

(b)

što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obradenema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;

17.	„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe;

18.	„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;

19.	„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;

20.

„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;

21.	„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.;

22.

„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:

(a)	voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela;

(b)	obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili

(c)	podnesena je pritužba tom nadzornom tijelu.

23.

„prekogranična obrada” znači ili:

(a)	obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili

(b)	obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.

24.

„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije;

25.	„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19);

26.	„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

POGLAVLJE II.

Načela

Članak 6.

Zakonitost obrade

1. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)	ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)	obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)	obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)	obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

(e)	obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)	obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.

2. Države članice mogu zadržati ili uvesti posebne odredbe kako bi se primjena pravila ove Uredbe s obzirom na obradu prilagodila radi usklađivanja sa stavkom 1. točkama (c) i (e) tako da se preciznije odrede posebni uvjeti za obradu te druge mjere za osiguravanje zakonite i poštene obrade, među ostalim za druge posebne situacije obrade kako je predviđeno u poglavlju IX.

3. Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:

(a)	pravu Unije; ili

(b)	pravu države članice kojem voditelj obrade podliježe.

Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.

4. Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:

(a)	svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;

(b)	kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)	prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;

(d)	moguće posljedice namjeravanog nastavka obrade za ispitanike;

(e)	postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.

Članak 9.

Obrada posebnih kategorija osobnih podataka

1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:

(a)	ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)

obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)	obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;

(d)

obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;

(e)	obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)	obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

(g)	obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)

obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)

obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;

(j)

obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

3. Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

4. Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.

Članak 24.

Obveze voditelja obrade

1. Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2. Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.

3. Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade.

Članak 28.

Izvršitelj obrade

1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.

3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)	osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)	poduzima sve potrebne mjere u skladu s člankom 32.;

(d)	poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)	uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)	pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)	po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)	voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.

6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.

7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.

8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.

10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 30.

Evidencija aktivnosti obrade

1. Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a)	ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b)	svrhe obrade;

(c)	opis kategorija ispitanika i kategorija osobnih podataka;

(d)	kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(e)	ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)	ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

2. Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

(a)	ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;

(b)	kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

(c)	ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

3. Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4. Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju.

5. Obveze iz stavaka 1. i 2. ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

Članak 35.

Procjena učinka na zaštitu podataka

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:

(a)	sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)	opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(c)	sustavnog praćenja javno dostupnog područja u velikoj mjeri.

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.

6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.

7. Procjena sadrži barem:

(a)	sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(b)	procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(c)	procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)	mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.

9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.

11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

Članak 40.

Kodeksi ponašanja

1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:

(a)	poštene i transparentne obrade;

(b)	legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)	prikupljanja osobnih podataka;

(d)	pseudonimizacije osobnih podataka;

(e)	informiranja javnosti i ispitanika;

(f)	ostvarivanja prava ispitanika;

(g)	informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)	mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)	izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)	prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)	izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.

4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.

5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.

7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.

8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji.

9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.

11. Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 42.

Certificiranje

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.

3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.

4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 45.

Prijenosi na temelju odluke o primjerenosti

1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)	međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.

5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.

6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.

7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.

8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.

9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.

Članak 49.

Odstupanja za posebne situacije

1. Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:

(a)	ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)	prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)	prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)	prijenos je nužan iz važnih razloga javnog interesa;

(e)	prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f)	prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;

(g)

prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.

2. Prijenos na temelju prvog podstavka stavka 1. točke (g) ne uključuje osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru. Kada registar služi na uvid osobama koje imaju opravdani interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.

3. Stavak 1. prvi podstavak točke (a), (b) i (c) i stavak 1. drugi podstavak ne primjenjuju se na aktivnosti koje provode tijela javne vlasti izvršavajući svoje javne ovlasti.

4. Javni interes iz prvog podstavka stavka 1. točke (d) mora biti priznat u pravu Unije ili u pravu države članice kojem podliježe voditelj obrade.

5. Ako nije donesena odluka o primjerenosti, pravo Unije ili pravo države članice mogu, iz važnih razloga javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice dužne su obavijestiti Komisiju o takvim odredbama.

6. Voditelj obrade ili izvršitelj obrade dokumentiraju procjenu kao i odgovarajuće mjere zaštite iz stavka 1. drugog podstavka ovog članka u evidencijama iz članka 30.

Članak 50.

Međunarodna suradnja s ciljem zaštite osobnih podataka

Komisija i nadzorna tijela poduzimaju odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem:

(a)	razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama;

(c)	uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

(d)	promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

POGLAVLJE VI.

Neovisna nadzorna tijela

Odjeljak 1.

Neovisni status

Članak 57.

Zadaće

1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:

(a)	prati i provodi primjenu ove Uredbe;

(b)	promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;

(c)	savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d)	promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(e)	na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f)

rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g)	surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;

(h)	provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(i)	prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;

(j)	donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(k)	utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;

(l)	daje savjete o postupcima obrade iz članka 36. stavka 2.;

(m)	potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;

(n)	potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(o)	prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;

(p)	sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(q)	provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(r)	odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;

(s)	odobrava obvezujuća korporativna pravila u skladu s člankom 43.;

(t)	doprinosi aktivnostima Odbora;

(u)	vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i

(v)	ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.

2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka.

4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu.

Članak 59.

Izvješća o aktivnostima

Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrste mjera poduzetih u skladu s člankom 58. stavkom 2. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je određeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i Odboru.

POGLAVLJE VII.

Suradnja i konzistentnost

Odjeljak 1.

Suradnja

Članak 60.

Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela

1. Vodeće nadzorno tijelo surađuje s drugim predmetnim nadzornim tijelima u skladu s ovim člankom kako bi se nastojao postići konsenzus. Vodeće nadzorno tijelo i predmetna nadzorna tijela međusobno razmjenjuju sve bitne informacije.

2. Vodeće nadzorno tijelo može u bilo kojem trenutku od drugih predmetnih nadzornih tijela zatražiti pružanje uzajamne pomoći u skladu s člankom 61. te može provoditi zajedničke operacije u skladu s člankom 62., posebno vođenje istraga ili praćenja provedbe mjere u vezi s voditeljem obrade ili izvršiteljem obrade s poslovnim nastanom u drugoj državi članici.

3. Vodeće nadzorno tijelo bez odgađanja obavješćuje o bitnim informacijama u vezi s predmetom druga predmetna nadzorna tijela. Bez odgađanja podnosi nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te pridaje dužnu pozornost njihovim stajalištima.

4. Ako neko od drugih predmetnih nadzornih tijela u roku od četiri tjedna nakon što je u skladu sa stavkom 3. ovog članka bilo obaviješteno izrazi relevantan i obrazložen prigovor na nacrt odluke, ako relevantan i obrazložen prigovor ne uzme u obzir ili smatra da prigovor nije relevantan ili obrazložen, vodeće nadzorno tijelo predmet predaje na rješavanje u sklopu mehanizma konzistentnosti iz članka 63.

5 Ako vodeće nadzorno tijelo namjerava uzeti u obzir relevantan i obrazložen prigovor, revidirani nacrt odluke podnosi drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje. Na taj revidirani nacrt odluke primjenjuje se postupak iz stavka 4. u roku od dva tjedna.

6. Ako ni jedno od drugih predmetnih nadzornih tijela ne uloži prigovor na nacrt odluke koju je podnijelo vodeće nadzorno tijelo u roku navedenom u stavcima 4. i 5. smatra se da se vodeće nadzorno tijelo i predmetna nadzorna tijela slažu s tim nacrtom odluke i on je za njih obvezujući.

7. Vodeće nadzorno tijelo donosi odluku i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade, prema potrebi, te obavješćuje druga predmetna nadzorna tijela i Odbor o dotičnoj odluci prilažući i bitne činjenice i obrazloženja. Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o odluci.

8. Odstupajući od stavka 7., ako je pritužba odbačena ili odbijena, nadzorno tijelo kojem je podnesena pritužba donosi odluku i dostavlja je podnositelju pritužbe te o tome obavješćuje voditelja obrade.

9. Ako su se vodeće nadzorno tijelo i predmetna nadzorna tijela složili odbaciti ili odbiti dijelove pritužbe, a u obzir uzeti druge dijelove te pritužbe, donosi se odvojena odluka za svaki dio predmeta. Vodeće nadzorno tijelo donosi odluku za dio koji se odnosi na djelovanja u vezi s voditeljem obrade i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade na državnom području svoje države članice te o tome izvješćuje podnositelja pritužbe, dok nadzorno tijelo podnositelja pritužbe donosi odluku za dio koji se odnosi na odbacivanje ili odbijanje te pritužbe i o toj ga pritužbi obavješćujete o tome izvješćuje voditelja obrade ili izvršitelja obrade.

10. Nakon što ga vodeće nadzorno tijelo u skladu sa stavcima 7. i 9. obavijesti o odluci, voditelj obrade ili izvršitelj obrade poduzima potrebne mjere kako bi osigurao da se odluka poštuje u odnosu na aktivnosti obrade, s obzirom na sve njegove poslovne nastane u Uniji. Voditelj obrade ili izvršitelj obrade o poduzetim mjerama za poštivanje odluke obavješćuju vodeće nadzorno tijelo koje izvješćuje druga predmetna nadzorna tijela.

11. Ako u izuzetnim okolnostima predmetno nadzorno tijelo ima razloga smatrati da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi ispitanika, primjenjuje se hitni postupak iz članka 66.

12. Vodeće nadzorno tijelo i druga predmetna nadzorna tijela međusobno si dostavljaju informacije koje se zahtijevaju u skladu s ovim člankom elektroničkim putem, koristeći se standardiziranim formatom.

Članak 68.

Europski odbor za zaštitu podataka

1. Europski odbor za zaštitu podataka („Odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost.

2. Odbor predstavlja njegov predsjednik.

3. Odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici.

4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice.

5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima Odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik Odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka.

6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe.

Članak 80.

Zastupanje ispitanika

1. Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članaka 77., 78. i 79. u njegovo ime te da ostvaruju pravo na naknadu iz članka 82. u ime ispitanika ako je to predviđeno pravom države članice.

2. Države članice mogu predvidjeti da svako tijelo, organizacija ili udruženje iz stavka 1. ovog članka, neovisno o mandatu ispitanika, ima pravo u toj državi članici podnijeti pritužbu nadzornom tijelu nadležnom u skladu s člankom 77. i ostvarivati prava iz članaka 78. i 79. ako smatra da su uslijed obrade osobnih podataka prekršena prava ispitanika iz ove Uredbe.

Članak 90.

Obveze tajnosti

1. Države članice mogu donositi posebna pravila za utvrđivanje ovlasti nadzornih tijela iz članka 58. stavka 1.točaka (e) i (f) u pogledu voditelja obrade ili izvršitelja obrade koji, na temelju prava Unije ili prava države članice ili na temelju pravila koja su donijela nacionalna nadležna tijela, podliježu obvezi profesionalne tajne i drugim jednakovrijednim obvezama tajnosti, ako je to nužno i razmjerno kako bi se uskladilo pravo na zaštitu osobnih podataka s obvezom tajnosti. Ta se pravila primjenjuju samo na osobne podatke koje je voditelj obrade ili izvršitelj obrade dobio kao rezultat, ili primio tijekom aktivnosti koja je obuhvaćena obvezom tajnosti.

2. Svaka država članica priopćuje Komisiji pravila donesena na temelju stavka 1. do 25. svibnja 2018. i bez odgađanja o svakoj sljedećoj izmjeni koja na njih utječe.

whereas

(9) Ciljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da osobito kod internetskih aktivnosti postoje znatni rizici povezani sa zaštitom pojedinaca.
Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u Uniji.
Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije.
Do takve razlike u razinama zaštite došlo je zbog postojanja razlika u provedbi i primjeni Direktive 95/46/EZ.

- = -

(18) Ova se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću.
U osobne ili kućne aktivnosti može se ubrajati korespondencija i posjedovanje adresa ili društveno umrežavanje te internetske aktivnosti poduzete u kontekstu takvih aktivnosti.
Međutim, ova se Uredba primjenjuje na voditelje obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne aktivnosti.

- = -

(19) Zaštita pojedinaca s obzirom na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i slobodnom kretanju takvih podataka i njihovo sprečavanje, podliježe posebnom pravnom aktu Unije.
Stoga se ova Uredba ne bi trebala primjenjivati na aktivnosti obrade u te svrhe.
No, osobni podaci koje su obradila tijela javne vlasti u skladu s ovom Uredbom trebali bi, kada se upotrebljavaju u te svrhe, biti uređeni posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (7).
Države članice mogu povjeriti nadležnim tijelima u smislu Direktive (EU) 2016/680 zadaće koje se ne provode nužno u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge svrhe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene ove Uredbe.

- = -

(20) Iako se ova Uredba primjenjuje, među ostalim, na aktivnosti sudova i drugih pravosudnih tijela, u pravu Unije ili pravu države članice moglo bi se odrediti radnje i postupke obrade u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela.
Nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u sudbenom svojstvu kako bi se zaštitila neovisnost pravosuđa u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka.
Trebalo bi biti moguće povjeriti nadzor takvih radnji obrade podataka posebnim tijelima u okviru pravosudnog sustava države članice, koja bi posebno trebala osigurati sukladnost s pravilima ove Uredbe, promicati svijest djelatnika u pravosuđu s o njihovim obvezama na temelju ove Uredbe i rješavati pritužbe u vezi s takvom obradom osobnih podataka.

- = -

(23) Kako bi se osiguralo da pojedincima nije uskraćena zaštita na koju imaju pravo na temelju ove Uredbe, na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, trebala bi se primjenjivati ova Uredba ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima, bez obzira na to ima li ta ponuda veze s plaćanjem.
Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li očito da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima koji se nalaze u jednoj ili više država članica Unije.
Iako su sama dostupnost internetskih stranica voditelja obrade, izvršitelja obrade ili posrednika u Uniji ili adrese elektroničke pošte i drugih kontaktnih podataka ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj voditelj obrade ima poslovni nastan nedovoljni za utvrđivanje takve namjere, čimbenici kao što je korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da voditelj obrade namjerava nuditi robu ili usluge ispitanicima u Uniji.

- = -

(24) Na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, također bi se trebala primjenjivati ova Uredba kada se odnosi na praćenje ponašanja takvih ispitanika ako se njihovo ponašanje odvija unutar Unije.
Kako bi se odredilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prati li se pojedince na internetu među ostalim mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih osobnih sklonosti, ponašanja i stavova.

- = -

(32) Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave.
To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe.
Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih.
Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.

- = -

(36) Glavni poslovni nastan voditelja obrade u Uniji trebalo bi biti mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i načinima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji, u kojem slučaju taj drugi poslovni nastan trebao bi se smatrati glavnim poslovnim nastanom.
Glavni poslovni nastan voditelja obrade u Uniji trebalo bi utvrditi prema objektivnim kriterijima, a pod time bi se trebalo podrazumijevati djelotvorno i stvarno obavljanje upravljačkih aktivnosti koje utvrđuju glavne odluke u vezi sa svrhama i načinima obrade putem stabilnih aranžmana.
Taj kriterij ne bi smio ovisiti o tome obavljali se obrada osobnih podataka na toj lokaciji.
Prisutnost i uporaba tehničkih sredstava i tehnologija za obradu osobnih podataka ili aktivnosti obrade same po sebi ne predstavljaju glavni poslovni nastan pa prema tome nisu odlučujući kriteriji za glavni poslovni nastan.
Glavni poslovni nastan izvršitelja obrade trebalo bi biti mjesto njegove središnje uprave u Uniji ili, ako nema središnju upravu u Uniji, mjesto u Uniji u kojemu se odvijaju glavne aktivnosti obrade.
U slučajevima koji uključuju i voditelja obrade i izvršitelja obrade, nadležno vodeće nadzorno tijelo trebalo bi ostati nadzorno tijelo države članice u kojoj voditelj obrade ima glavni poslovni nastan, ali nadzorno tijelo izvršitelja obrade trebalo bi smatrati predmetnim nadzornim tijelom te te bi to nadzorno tijelo trebalo sudjelovati u postupku suradnje koji je predviđen ovom Uredbom.
U svakom slučaju, nadzorna tijela jedne države članice ili više njih u kojima izvršitelj obrade ima jedan ili više poslovnih nastana ne bi trebalo smatrati predmetnim nadzornim tijelima ako se nacrt odluke odnosi samo na voditelja obrade.
Kada obradu obavlja grupa poduzetnika, glavni nastan poduzetnika u vladajućem položaju trebalo bi smatrati glavnim nastanom grupe poduzetnika, osim ako svrhe i načine obrade ne određuje drugi poduzetnik.

- = -

(51) Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode.
Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa.
Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.
Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u ovoj Uredbi, uzimajući u obzir da pravom država članica mogu biti propisane posebne odredbe o zaštiti podataka kako bi se prilagodila primjena pravila iz ove Uredbe radi poštovanja pravne obveze ili za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade.
Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu.
Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada čiji je cilj dopustiti ostvarivanje temeljnih sloboda.

- = -

(56) Ako tijekom izbornih aktivnosti djelovanje demokratskog sustava u državi članici zahtijeva da političke stranke prikupljaju osobne podatke o političkim mišljenjima ljudi, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da se uspostave odgovarajuće zaštitne mjere.

- = -

(63) Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost.
To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije poput dijagnoza, rezultata pretraga, liječničkih mišljenja, liječenja ili zahvata.
Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i za koje razdoblje se osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila.
Ako je moguće, voditelj obrade trebao bi imati mogućnost omogućiti daljinski pristup zaštićenom sustavu koji bi ispitaniku omogućio izravan pristup njegovim osobnim podacima.
To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a osobito na autorsko pravo kojima je zaštićen računalni program.
Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku.
Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacije zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

- = -

(74) Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade.
Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera.
Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

- = -

(80) Ako voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji obrađuje osobne podatke ispitanikâ u Uniji čije su aktivnosti obrade povezane s ponudom robe ili usluga, bez obzira na to je li potrebno plaćanje ispitanika, za takve bi ispitanike u Uniji, ili za praćenje njihova ponašanja dok se ono odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebali bi imenovati predstavnika, osim ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo.
Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može mu se obratiti svako nadzorno tijelo.
Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja obrade i izvršitelja obrade na temelju ove Uredbe.
Imenovanje takvog predstavnika ne utječe na dužnost ili odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe.
Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja obrade ili izvršitelja obrade, uključujući suradnju s nadležnim nadzornim tijelima u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe.
U slučaju da voditelj obrade ili izvršitelj obrade krši pravila, imenovani bi predstavnik trebao podlijegati postupku izvršavanja zakonodavstva.

- = -

(81) Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade.
Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade.
Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika.
Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija.
Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

- = -

(82) Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o aktivnostima obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Uredbom.
Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti za praćenje postupaka obrade.

- = -

(104) Sukladno s temeljnim vrijednostima na kojima se temelji Unija, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako određena treća zemlja poštuje vladavinu prava, pristup pravosuđu kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorske zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo.
Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih normi i zakonodavstva koji su na snaziu trećoj zemlji.
Treća zemlja trebala bi ponuditi jamstva kojima se osigurava primjerena razina zaštite, u načelu istovjetna onoj koja je osigurana u Uniji, posebno kada se osobni podaci obrađuju u jednom ili više određenih sektora.
Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

- = -

(110) Grupa poduzetnika ili grupa poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika ili grupe poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti, ako korporativna pravila obuhvaćaju sva osnovna načela i provediva prava za osiguranje odgovarajućih zaštitnih mjera za prijenose ili kategorije prijenosa osobnih podataka.

- = -

(115) Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade fizičkih i pravnih osoba pod jurisdikcijom država članica.
To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji vrijede između treće zemlje koja je podnijela zahtjev i Unije ili države članice.
Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji.
Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos u treće zemlje.
Ovo može, među ostalim, biti slučaj kada je otkrivanje nužno iz važnih razloga javnog interesa priznatog pravom Unije ili pravom države članice koje se primjenjuje na voditelja obrade.

- = -

(116) Kada se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija.
Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica.
Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke kao što su ograničeni resursi.
Stoga postoji potreba da se promiče bliska suradnja između nadzornih tijela za zaštitu podataka kako bi im se pomoglo u razmjeni informacija i provođenju istraga s njihovom međunarodnim partnerima.
Za potrebe razvoja mehanizama međunarodne suradnje za olakšavanje i pružanje međunarodne međusobne pomoći u provedbi zakonodavstva zaštite osobnih podataka Komisija i nadzorna tijela trebali bi razmjenjivati informacije i surađivati u aktivnostima povezanima s izvršavanjem svojih ovlasti s nadležnim tijelima trećih zemalja na temelju reciprociteta i u skladu s odredbama ovom Uredbom.

- = -

(122) Svako nadzorno tijelo trebalo bi biti nadležno na području svoje države članice za izvršavanje ovlasti i obavljanje zadaća koje su mu povjerene u skladu s ovom Uredbom.
To bi posebno trebalo obuhvatiti obradu u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade na državnom području njegove države članice, obradu osobnih podataka koju obavljaju tijela javne vlasti ili privatna tijela koja djeluju u javnom interesu obrađujući dotične ispitanike na svom državnom području ili obradu koju obavlja voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji kada ciljni ispitanici borave na njegovu državnom području.
To bi trebalo uključivati rješavanje pritužbi koje je podnio ispitanik, provođenje istraga o primjeni ove Uredbe i promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka.

- = -

(124) Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, a voditelj obrade ili izvršitelj obrade imaju poslovni nastan u više od jedne države članice ili ako obrada koja se odvija u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo.
Ono bi trebalo surađivati s drugim predmetnim tijelima zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području njihove države članice, zato što to bitno utječe na ispitanike koji imaju boravište na njihovom državnom području ili zato što im je podnesena pritužba.
Također, ako je pritužbu podnio ispitanik koji nema boravište u toj državi članici, nadzorno tijelo kojem je takva pritužba podnesena također bi trebalo biti predmetno nadzorno tijelo.
U okviru zadaća za izdavanje smjernica o bilo kojem pitanju koje obuhvaća primjenu ove Uredbe, Odbor bi trebao imati mogućnost izdati smjernice posebno o kriterijima koje treba uzeti u obzir kako bi se utvrdilo utječe li predmetna obrada bitno na ispitanike u više od jedne države članice i o tome što predstavlja relevantan i obrazložen prigovor.

- = -

(126) O odluci bi se trebali zajednički dogovoriti vodeće nadzorno tijelo i predmetno nadzorno tijelo te bi ona trebala biti usmjerena na glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade i biti obvezujuća za voditelja obrade i izvršitelja obrade.
Voditelj obrade ili izvršitelj obrade trebali bi poduzeti potrebne mjere kako bi osigurali sukladnost s ovom Uredbom i provedbu odluke o kojoj je vodeće tijelo dalo obavijest glavnom nastanu voditelja obrade ili izvršitelja obrade u pogledu aktivnosti obrade u Uniji.

- = -

(131) Kada bi drugo nadzorno tijelo trebalo djelovati kao vodeće nadzorno tijelo za aktivnosti obrade voditelja obrade ili izvršitelja obrade, ali se konkretni predmet pritužbe ili moguća povreda odnosi samo na aktivnosti obrade voditelja obrade ili izvršitelja obrade u državi članici u kojoj je podnesena pritužba ili otkrivena moguća povreda i predmet znatno ne utječe ili vjerojatno neće znatno utjecati na ispitanike u drugim državama članicama, nadzorno tijelo koje zaprimi pritužbu ili otkrije situacije u kojima dolazi do mogućih kršenja ove Uredbe ili je o njima na drugi način obaviješteno trebalo bi težiti sporazumnom rješenju s voditeljem obrade i, ako se to pokaže neuspješnim, primijeniti sve svoje ovlasti.
To bi trebalo uključivati posebnu obradu koja se obavlja na državnom području države članice nadzornog tijela ili u pogledu ispitanika na državnom području te države članice, obradu koja se obavlja u kontekstu ponude robe ili usluga koja je posebno namijenjena ispitanicima na državnom području države članice nadzornog tijela, ili obradu koja se treba procijeniti uzimajući u obzir relevantne pravne obveze u skladu s pravom države članice.

- = -

(132) aktivnosti nadzornih tijela za podizanje svijesti javnosti trebale bi uključivati posebne mjere za voditelje obrade i izvršitelje obrade, uključujući mikropoduzeća, mala i srednja poduzeća kao i pojedince, posebno u kontekstu obrazovanja.

- = -

(139) Kako bi se promicala dosljedna primjena ove Uredbe, Odbor bi trebalo osnovati kao neovisno tijelo Unije.
Kako bi ispunio svoje ciljeve, Europski odbor za zaštitu podataka trebao bi imati pravnu osobnost.
Odbor bi trebao predstavljati njegov predsjednik.
On bi trebao zamijeniti Radnu skupinu za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovanu Direktivom 95/46/EZ.
Trebao bi se sastojati od predsjednika nadzornog tijela svake države članice i Europskog nadzornika za zaštitu podataka ili njihovih zamjenika.
Komisija bi trebala sudjelovati u aktivnostima Odbora bez prava glasa, a Europski nadzornik za zaštitu podataka trebao bi imati posebno pravo glasa.
Odbor bi trebao doprinijeti dosljednoj primjeni ove Uredbe u cijeloj Uniji, među ostalim savjetovanjem Komisije, osobito o razini zaštite u trećim zemljama ili međunarodnim organizacijama, te promicanjem suradnje nadzornih tijela u cijeloj Uniji.
Pri izvršavanju svojih zadaća Odbor bi trebao djelovati neovisno.

- = -

(142) Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da nadzornom tijelu podnese pritužbu u njegovo ime, da ostvari pravo na pravni lijek u ime ispitanikâ ili da ostvari pravo na naknadu u ime ispitanikâ ako je to predviđeno pravom države članice.
Država članica može predvidjeti da takvo tijelo, organizacija ili udruženje ima pravo, neovisno o mandatu ispitanika, podnijeti u toj državi članici pritužbu i imati pravo na učinkoviti pravni lijek ako ima razloga smatrati da je do kršenja prava ispitanika došlo zbog obrade osobnih podataka kojom se krši ova Uredba.
Tom tijelu, organizaciji ili udruženju ne smije biti dopušteno tražiti naknadu u ime ispitanika neovisno o mandatu ispitanika.

- = -

(144) Ako sud na kojem se vodi postupak protiv odluke nadzornog tijela ima razloga vjerovati da se postupci u vezi s istom obradom, poput istog predmeta u smislu aktivnosti obrade istog voditelja obrade ili izvršitelja obrade ili istog razloga za pokretanje postupka, vode na nadležnom sudu u drugoj državi članici, trebao bi kontaktirati s tim sudom kako bi potvrdio postojanje takvih povezanih postupaka.
Ako se povezani postupci vode na sudu druge države članice, svaki sud osim suda na kojem je prvo pokrenut postupak može zastati sa svojim postupcima ili se može, na zahtjev jedne od strana, proglasiti nenadležnim i prepustiti nadležnost sudu na kojem je prvo pokrenut postupak ako je taj sud nadležan za predmetne postupke, a pravo koje se na njemu primjenjuje omogućuje povezivanje takvih povezanih postupaka.
Smatra se da su postupci povezani kada su međusobno tako tijesno u vezi da je opravdano njihovo zajedničko saslušanje i zajedničko odlučivanje o njima kako bi se izbjegla opasnost od proturječnih presuda u odvojenim postupcima.

- = -

(159) Ako se osobni podaci obrađuju u svrhe znanstvenog istraživanja, ova bi se Uredba trebala primjenjivati i na tu obradu.
Za potrebe ove Uredbe, obrada osobnih podataka u svrhe znanstvenog istraživanja trebala bi se tumačiti u širokom smislu, uključujući primjerice tehnološki razvoj i demonstracijske aktivnosti, temeljno istraživanje, primijenjeno istraživanje, istraživanje koje se financira iz privatnih izvora.
Dodatno, njome bi se trebao uzeti u obzir cilj Unije na temelju članka 179.
stavka 1.
UFEU-a u vezi s uspostavom europskog istraživačkog prostora.
Svrhe znanstvenog istraživanja trebale bi također obuhvaćati studije koje se provode u javnom interesu u području javnog zdravlja.
Kako bi se poštovale posebnosti obrade osobnih podataka u svrhe znanstvenog istraživanja, trebali bi se primjenjivati posebni uvjeti, osobito u pogledu objavljivanja ili druge vrste otkrivanja osobnih podataka u kontekstu svrha znanstvenog istraživanja.
Ako su slijedom rezultata znanstvenog istraživanja, osobito u kontekstu zdravlja, potrebne dodatne mjere u interesu ispitanika, u pogledu tih mjera trebala bi se primjenjivati opća pravila iz ove Uredbe.

- = -

(161) Za potrebe pristanka za sudjelovanje u aktivnostima znanstvenog istraživanja u okviru kliničkih ispitivanja trebale bi se primjenjivati relevantne odredbe Uredbe (EU) br. 536/2014 Europskog parlamenta i Vijeća (15).

- = -

dal 2004 diritto e informatica