interactive GDPR 2016/0679 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- obrade 67
- skladu 60
- tijela 35
- tijelo 34
- podataka 30
- stavka 28
- člankom 28
- članka 27
- nadzorno 26
- članka 25
- koje 22
- temelju 21
- certificiranja 16
- uredbe 15
- koji 15
- ovlasti 13
- nadležno 13
- članice 13
- stavkom 12
- odbora 12
- države 12
- stavka 11
- mišljenje 11
- voditelja 11
- zaštitu 11
- novčane 11
- kazne 11
- člankom 10
- zaštite 10
- može 10
- ovog 10
- izvršitelja 10
- osobnih 9
- slučaju 9
- odobriti 9
- odbor 9
- potrebi 9
- stavkom 9
- prema 9
- tijelu 8
- upravne 8
- narediti 8
- pravom 8
- vezi 8
- ponašanja 8
- kriterije 8
- ovisno 7
- pitanje 7
- što 7
- odluke 7
Članak 42.
Certificiranje
1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.
2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.
3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.
4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.
5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.
6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.
7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.
8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.
Članak 43.
Certifikacijska tijela
1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:
| (a) | nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.; |
| (b) | nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56. |
2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:
| (a) | nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja; |
| (b) | obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.; |
| (c) | uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka; |
| (d) | uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i |
| (e) | nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa. |
3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.
4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.
5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.
6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.
7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.
8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.
9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
POGLAVLJE V.
Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama
Članak 57.
Zadaće
1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:
| (a) | prati i provodi primjenu ove Uredbe; |
| (b) | promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost; |
| (c) | savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade; |
| (d) | promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe; |
| (e) | na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama; |
| (f) | rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom; |
| (g) | surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe; |
| (h) | provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti; |
| (i) | prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi; |
| (j) | donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d); |
| (k) | utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| (l) | daje savjete o postupcima obrade iz članka 36. stavka 2.; |
| (m) | potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.; |
| (n) | potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.; |
| (o) | prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.; |
| (p) | sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| (q) | provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| (r) | odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.; |
| (s) | odobrava obvezujuća korporativna pravila u skladu s člankom 43.; |
| (t) | doprinosi aktivnostima Odbora; |
| (u) | vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i |
| (v) | ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka. |
2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.
3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka.
4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu.
Članak 58.
Ovlasti
1. Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:
| (a) | narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća; |
| (b) | provoditi istrage u obliku revizije zaštite podataka; |
| (c) | provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.; |
| (d) | obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe; |
| (e) | ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća; |
| (f) | ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice. |
2. Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:
| (a) | izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe; |
| (b) | izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe; |
| (c) | narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom; |
| (d) | narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku; |
| (e) | narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka; |
| (f) | privremeno ili konačno ograničiti, među ostalim zabraniti, obradu; |
| (g) | narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.; |
| (h) | povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni; |
| (i) | izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja; |
| (j) | narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji. |
3. Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti:
| (a) | savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36., |
| (b) | na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka; |
| (c) | odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva; |
| (d) | izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.; |
| (e) | akreditirati certifikacijska tijela u skladu s člankom 43.; |
| (f) | izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.; |
| (g) | donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d); |
| (h) | odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); |
| (i) | odobriti administrativne dogovore iz članka 46. stavka 3. točke (b); |
| (j) | odobriti obvezujuća korporativna pravila u skladu s člankom 47. |
4. Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom.
5. Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.
6. Svaka država članica zakonom može predvidjeti da nadzorno tijelo uz ovlasti iz stavaka 1., 2. i 3. ima dodatne ovlasti. Izvršavanje tih ovlasti ne smije narušavati učinkovito djelovanje odredaba poglavlja VII.
Članak 64.
Mišljenje Odbora
1. Odbor daje mišljenje kada nadležno nadzorno tijelo namjerava donijeti bilo koju od mjera navedenih dalje u tekstu. Nadležno nadzorno tijelo u tu svrhu obavješćuje Odbor o nacrtu odluke ako ona:
| (a) | ima za cilj donijeti popis postupaka obrade na koje se primjenjuje zahtjev procjene učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| (b) | odnosi se na pitanje u skladu s člankom 40. stavkom 7. o tome jesu li nacrt kodeksa ponašanja ili izmjena ili dopuna kodeksa ponašanja usklađeni s ovom Uredbom; |
| (c) | ima za cilj odobriti kriterije za akreditaciju tijela na temelju članka 41. stavka 3. ili certifikacijskog tijela na temelju članka 43. stavka 3.; |
| (d) | ima za cilj odrediti standardne klauzule zaštite podataka iz članka 46. stavka 2. točke (d) i iz članka 28. stavka 8.; |
| (e) | ima za cilj odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); ili |
| (f) | ima za cilj odobriti obvezujuća korporativna pravila u smislu članka 47. |
2. Svako nadzorno tijelo, predsjednik Odbora ili Komisija mogu zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda Odbor kako bi on dao mišljenje, posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. ili o zajedničkim operacijama u skladu s člankom 62.
3. U slučajevima koji se navode u stavcima 1. i 2. Odbor daje mišljenje o predmetu koji je zaprimio ako već nije dao mišljenje o istoj stvari. To mišljenje usvaja se u roku od osam tjedana natpolovičnom većinom članova Odbora. Taj se rok može produžiti za dodatnih šest tjedana, uzimajući u obzir složenost predmeta. S obzirom na nacrt odluke iz stavka 1. koja se članovima Odbora dostavlja u skladu sa stavkom 5. smatra se da se član koji nije uložio prigovor u razumnom roku koji je odredio predsjednik slaže s nacrtom odluke.
4. Nadzorna tijela i Komisija bez nepotrebnog odgađanja elektroničkim putem priopćuju Odboru, upotrebljavajući standardizirani format, sve bitne informacije, uključujući, ovisno o slučaju, i sažetak činjenica, nacrt odluke, razloge zbog kojih je poduzimanje takve mjere neophodno i mišljenja drugih predmetnih nadzornih tijela.
5. Predsjednik Odbora bez nepotrebnog odgađanja elektroničkim putem izvješćuje:
| (a) | članove Odbora i Komisiju o svim bitnim informacijama koje su mu priopćene upotrebljavajući standardizirani format. Tajništvo Odbora prema potrebi omogućuje prijevode bitnih informacija; i |
| (b) | nadzorno tijelo iz stavaka 1. i 2., ovisno o slučaju, i Komisiju o mišljenju i objavljuje ga. |
6. Nadležno nadzorno tijelo ne donosi svoj nacrt odluke iz stavka 1. tijekom roka iz stavka 3.
7. Nadzorno tijelo iz stavka 1. osobito uvažava mišljenje Odbora i u roku od dva tjedna od zaprimanja mišljenja elektroničkim putem obavješćuje predsjednika Odbora o tome zadržava li ili mijenja svoj nacrt odluke, te izmijenjeni nacrt odluke, ako ga ima, dostavlja u standardiziranom formatu.
8. Ako predmetno nadzorno tijelo obavijesti predsjednika Odbora u roku navedenom u stavku 7. ovog članka da ne namjerava u obzir uzeti mišljenje Odbora, u cijelosti ili djelomično, uz relevantno obrazloženje, primjenjuje se članak 65. stavak 1.
Članak 83.
Opći uvjeti za izricanje upravnih novčanih kazni
1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.
2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:
| (a) | prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli; |
| (b) | ima li kršenje obilježje namjere ili nepažnje; |
| (c) | svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici; |
| (d) | stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.; |
| (e) | svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade; |
| (f) | stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja; |
| (g) | kategorijama osobnih podataka na koje kršenje utječe; |
| (h) | načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju; |
| (i) | ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera; |
| (j) | poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i |
| (k) | svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem. |
3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.
4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
| (a) | obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.; |
| (b) | obveza certifikacijskog tijela u skladu s člancima 42. i 43.; |
| (c) | obveza tijela za praćenje u skladu s člankom 41.stavkom 4.; |
5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
| (a) | osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.; |
| (b) | prava ispitanika u skladu s člancima od 12. do 22.; |
| (c) | prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.; |
| (d) | svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.; |
| (e) | nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1. |
6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.
8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje.
9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.
whereas
dal 2004 diritto e informatica