interactive GDPR 2016/0679 HR

Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

Članak 30.

Evidencija aktivnosti obrade

1. Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a)	ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b)	svrhe obrade;

(c)	opis kategorija ispitanika i kategorija osobnih podataka;

(d)	kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(e)	ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)	ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

2. Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

(a)	ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;

(b)	kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

(c)	ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

3. Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4. Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju.

5. Obveze iz stavaka 1. i 2. ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

Članak 32.

Sigurnost obrade

1. Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)	pseudonimizaciju i enkripciju osobnih podataka;

(b)	sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)	sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)	proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

2. Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3. Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.

4. Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.

Članak 39.

Zadaće službenika za zaštitu podataka

1. Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:

(a)	informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka;

(b)

praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;

(c)	pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.;

(d)	suradnja s nadzornim tijelom;

(e)	djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.

2. Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade.

Odjeljak 5.

Kodeksi ponašanja i certificiranje

Članak 52.

Neovisnost

1. Svako nadzorno tijelo djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom.

2. Član ili članovi svakog nadzornog tijela moraju biti slobodni od vanjskog utjecaja, bilo izravnog bilo neizravnog, pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom te ne smiju tražiti ni primati upute ni od koga.

3. Član ili članovi svakog nadzornog tijela moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima te se tijekom svojeg mandata ne smiju baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li ona plaćena ili ne.

4. Svaka država članica osigurava da svako nadzorno tijelo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti, uključujući one koje treba izvršavati u kontekstu uzajamne pomoći, suradnje i sudjelovanja u Odboru.

5. Svaka država članica osigurava da svako nadzorno tijelo odabire i ima vlastito osoblje kojim isključivo rukovodi član ili članovi predmetnog nadzornog tijela.

6. Svaka država članica osigurava da svako nadzorno tijelo podliježe financijskoj kontroli koja ne utječe na njegovu neovisnost i da ima zasebne, javne, godišnje proračune koji mogu biti dio cjelokupnog državnog ili nacionalnog proračuna.

Članak 62.

Zajedničke operacije nadzornih tijela

1. Nadzorna tijela prema potrebi provode zajedničke operacije, uključujući zajedničke istrage i zajedničke mjere provedbe u kojima sudjeluju članovi ili osoblje nadzornih tijela drugih država članica.

2. Ako voditelj obrade ili izvršitelj obrade ima poslovne nastane u nekoliko država članica ili kad postoji vjerojatnost da će postupci obrade bitno utjecati na znatan broj ispitanika u više od jedne države članice, nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim operacijama. Nadzorno tijelo nadležno u skladu s člankom 56. stavkom 1. ili 4. poziva nadzorno tijelo svake od tih država članica da sudjeluje u zajedničkim operacijama i bez odgađanja odgovara na zahtjev nadzornog tijela za sudjelovanjem.

3. Nadzorno tijelo može, u skladu s pravom države članice, i uz odobrenje gostujućeg nadzornog tijela, dati ovlasti, među ostalim i ovlasti za vođenje istrage članovima ili osoblju gostujućeg nadzornog tijela koje sudjeluje u zajedničkim operacijama ili, u onoj mjeri u kojoj dopušta pravo države članice nadzornog tijela domaćina, odobriti članovima ili osoblju gostujućeg nadzornog tijela izvršavanje njihovih istražnih ovlasti u skladu s pravom države članice gostujućeg nadzornog tijela. Takve se istražne ovlasti mogu obavljati samo prema smjernicama članova ili osoblja nadzornog tijela domaćina i u njihovoj nazočnosti. Na članove ili osoblje gostujućeg nadzornog tijela primjenjuje se pravo države članice nadzornog tijela domaćina.

4. Ako, u skladu sa stavkom 1., osoblje gostujućeg nadzornog tijela djeluje u drugoj državi članici, država članica nadzornog tijela domaćina preuzima odgovornost za njihovo djelovanje, što uključuje odgovornost za svaku štetu koju to osoblje počini tijekom svojih operacija, u skladu s pravom države članice na čijem državnom području djeluje.

5. Država članica na čijem je državnom području šteta uzrokovana nadoknađuje takvu štetu pod uvjetima koji se primjenjuju kad štetu uzrokuje njezino osoblje. Država članica gostujućeg nadzornog tijela čije je osoblje uzrokovalo štetu bilo kojoj osobi na državnom području druge države članice toj državi članici nadoknađuje u potpunosti svaki iznos koji je ona platila osobama ovlaštenima u ime oštećene osobe.

6. Ne dovodeći u pitanje ostvarivanje svog prava u odnosu na treće strane i uz iznimku stavka 5. svaka država članica u slučaju predviđenom u stavku 1. suzdržava se od zahtjeva prema drugoj državi članici za naknadu štete iz stavka 4.

7. Kada se planira zajednička operacija i nadzorno tijelo u roku od mjesec dana ne ispuni obveze iz druge rečenice stavka 2. ovog članka, druga nadzorna tijela mogu donijeti privremenu mjeru na državnom području države članice za koje je nadležno u skladu s člankom 55. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitno mišljenje ili hitna obvezujuća odluka Odbora u skladu s člankom 66. stavkom 2.

Odjeljak 2.

Konzistentnost

Članak 69.

Neovisnost

1. Odbor djeluje neovisno kada obavlja svoje zadaće ili izvršava svoje ovlasti u skladu s člancima 70. i 71.

2. Ne dovodeći u pitanje zahtjeve Komisije iz članka 70. stavka 1. točke (b) i članka 70. stavka 2., Odbor pri obavljanju svojih zadaća ili izvršavanju svojih ovlasti ne smije tražiti ni primati upute ni od koga.

Članak 75.

Tajništvo

1. Odbor ima tajništvo koje osigurava Europski nadzornik za zaštitu podataka.

2. Tajništvo obavlja svoje zadaće isključivo prema uputama predsjednika Odbora.

3. Na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene Odboru primjenjuju se odvojene linije izvješćivanja od onih za osoblje koje sudjeluje u obavljanju zadaća povjerenih Europskom nadzorniku za zaštitu podataka.

4. Odbor i Europski nadzornik za zaštitu podataka prema potrebi utvrđuju i objavljuju memorandum o razumijevanju za provedbu ovog članka u kojem se utvrđuju uvjeti međusobne suradnje i koji se primjenjuje na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene Odboru.

5. Tajništvo pruža analitičku, administrativnu i logističku potporu Odboru.

6. Tajništvo je osobito odgovorno za:

(a)	tekuće poslove Odbora;

(b)	komunikaciju između članova Odbora, njegova predsjednika i Komisije;

(c)	komunikaciju s drugim institucijama i javnošću;

(d)	uporabu elektroničkih sredstava za internu i eksternu komunikaciju;

(e)	prijevode bitnih informacija;

(f)	pripremu sastanaka Odbora i daljnje postupanje;

(g)	pripremu, izradu i objavu mišljenja, odluka o rješavanju sporova među nadzornim tijelima i drugih tekstova koje Odbor donosi.

Članak 79.

Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obrade

1. Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu na temelju članka 77., ispitanik ima pravo na učinkoviti pravni lijek ako smatra da su mu zbog obrade njegovih osobnih podataka protivno ovoj Uredbi prekršena njegova prava iz ove Uredbe.

2. Postupci protiv voditelja obrade ili izvršitelja obrade vode se pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan. Osim toga, takvi se postupci mogu voditi pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište, osim ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti neke države članice koje djeluje izvršavajući svoje javne ovlasti.

whereas

(80) Ako voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji obrađuje osobne podatke ispitanikâ u Uniji čije su aktivnosti obrade povezane s ponudom robe ili usluga, bez obzira na to je li potrebno plaćanje ispitanika, za takve bi ispitanike u Uniji, ili za praćenje njihova ponašanja dok se ono odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebali bi imenovati predstavnika, osim ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo.
Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može mu se obratiti svako nadzorno tijelo.
Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja obrade i izvršitelja obrade na temelju ove Uredbe.
Imenovanje takvog predstavnika ne utječe na dužnost ili odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe.
Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja obrade ili izvršitelja obrade, uključujući suradnju s nadležnim nadzornim tijelima u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe.
U slučaju da voditelj obrade ili izvršitelj obrade krši pravila, imenovani bi predstavnik trebao podlijegati postupku izvršavanja zakonodavstva.

- = -

(119) Ako država članica osnuje nekoliko nadzornih tijela, zakonom bi trebala uspostaviti mehanizme za osiguravanje djelotvornog sudjelovanja tih nadzornih tijela u mehanizmu konzistentnosti.
Ta bi država članica osobito trebala imenovati nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u mehanizmu kako bi se osigurala brza i neometana suradnja s drugim nadzornim tijelima, Odborom i Komisijom.

- = -

(127) Svako nadzorno tijelo koje ne djeluje kao vodeće nadzorno tijelo trebalo bi biti nadležno za rješavanje lokalnih slučajeva ako voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice, ali se predmet posebne obrade odnosi samo na obradu obavljenu u jednoj državi članici koja uključuje samo ispitanike u toj jednoj državi članici, na primjer, ako se predmet odnosi na obradu osobnih podataka o zaposlenicima u posebnom kontekstu zaposlenja u određenoj državi članici.
U takvim slučajevima nadzorno tijelo trebalo bi o tom pitanju bez odgode obavijestiti vodeće nadzorno tijelo.
Nakon što primi obavijest, vodeće nadzorno tijelo trebalo bi odlučiti o tome hoće li predmet rješavati na temelju odredbe o suradnji između vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela („jedinstveni mehanizam”), ili bi ga na lokalnoj razini trebalo rješavati nadzorno tijelo koje mu je uputilo obavijest.
Pri donošenju odluke o tome hoće li rješavati predmet, vodeće nadzorno tijelo trebalo bi voditi računa o tome ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici nadzornog tijela koje je uputilo obavijest, kako bi se osiguralo djelotvorno izvršenje odluke u odnosu na voditelja obrade ili izvršitelja obrade.
Kada vodeće nadzorno tijelo odluči rješavati predmet, nadzorno tijelo koje mu je uputilo obavijest trebalo bi biti u mogućnosti podnijeti nacrt odluke, koji bi vodeće nadzorno tijelo trebalo što je više moguće uzeti u obzir prilikom pripreme svojeg nacrta odluke u okviru jedinstvenog mehanizma.

- = -

(140) Odboru bi trebalo pomagati tajništvo koje osigurava Europski nadzornik za zaštitu podataka.
Osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u izvršavanju zadaća povjerenih Odboru temeljem ove Uredbe trebalo bi biti odgovorno predsjedniku Odbora te svoje zadaće obavljati isključivo prema njegovim uputama.

- = -

(141) Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu, posebno u državi članici u kojoj ima uobičajeno boravište i imati pravo na učinkoviti pravni lijek u skladu s člankom 47.
Povelje ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako nadzorno tijelo ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kada je takvo djelovanje nužno radi zaštite prava ispitanika.
Nakon pritužbe trebalo bi provesti istragu, podložno sudskom preispitivanju, u onoj mjeri u kojoj je to određenom slučaju prikladno.
Nadzorno bi tijelo trebalo u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe.
Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije.
Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

- = -

(145) Za postupke koji se vode protiv voditelja obrade ili izvršitelja obrade tužitelj bi trebao imati mogućnost pokretanja spora pred sudovima država članica gdje voditelj obrade ili izvršitelj obrade imaju poslovni nastan ili gdje ispitanik ima boravište, osim u slučaju kada je voditelj obrade tijelo javne vlasti koje djeluje u svojstvu izvršitelja svojih javnih ovlasti.

- = -

dal 2004 diritto e informatica