interactive GDPR 2016/0679 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- obrade 81
- podataka 23
- skladu 17
- voditelja 17
- članka 15
- ovog 15
- izvršitelj 14
- osobnih 12
- članka 12
- prava 11
- koje 11
- zaštite 10
- izvršitelja 10
- mjere 9
- koji 9
- stavka 9
- može 9
- prema 8
- voditelju 8
- obzir 8
- ispitanika 7
- osigurava 7
- stavka 7
- unije 7
- provodi 7
- više 7
- komisija 6
- sigurnosti 6
- organizacija 6
- države 6
- članice 6
- zemlji 6
- stavaka 6
- trećoj 6
- prirodu 6
- obveze 6
- voditelj 6
- zemlje 5
- određenih 5
- sektora 5
- unutar 5
- dokazivanje 5
- pravu 5
- kako 5
- mjera 5
- Članak 5
- obveza 5
- razinu 5
- međunarodna 5
- treće 5
Članak 24.
Obveze voditelja obrade
1. Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.
2. Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.
3. Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade.
Članak 25.
Tehnička i integrirana zaštita podataka
1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.
2. Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.
3. Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.
Članak 28.
Izvršitelj obrade
1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.
2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.
3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
| (a) | obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa; |
| (b) | osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; |
| (c) | poduzima sve potrebne mjere u skladu s člankom 32.; |
| (d) | poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade; |
| (e) | uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.; |
| (f) | pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade; |
| (g) | po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka; |
| (h) | voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose. |
U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.
4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.
5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.
6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.
7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.
8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.
9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.
10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.
Članak 32.
Sigurnost obrade
1. Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:
| (a) | pseudonimizaciju i enkripciju osobnih podataka; |
| (b) | sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade; |
| (c) | sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta; |
| (d) | proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. |
2. Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.
3. Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.
4. Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.
Članak 45.
Prijenosi na temelju odluke o primjerenosti
1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.
2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:
| (a) | vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose; |
| (b) | postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i |
| (c) | međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka. |
3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.
5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.
6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.
7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.
8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.
9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.
whereas
dal 2004 diritto e informatica