interactive GDPR 2016/0679 HR

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:

(a)	sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)	opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(c)	sustavnog praćenja javno dostupnog područja u velikoj mjeri.

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.

6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.

7. Procjena sadrži barem:

(a)	sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(b)	procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(c)	procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)	mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.

9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.

11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

Članak 40.

Kodeksi ponašanja

1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:

(a)	poštene i transparentne obrade;

(b)	legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)	prikupljanja osobnih podataka;

(d)	pseudonimizacije osobnih podataka;

(e)	informiranja javnosti i ispitanika;

(f)	ostvarivanja prava ispitanika;

(g)	informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)	mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)	izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)	prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)	izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.

4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.

5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.

7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.

8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji.

9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.

11. Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 42.

Certificiranje

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.

3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.

4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 43.

Certifikacijska tijela

1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:

(a)	nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;

(b)	nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.

2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;

(b)	obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;

(c)	uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;

(d)	uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i

(e)	nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.

4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.

5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.

6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.

7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.

8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.

9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 47.

Obvezujuća korporativna pravila

1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 70.

Zadaće Odbora

1. Odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu Odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito:

(a)	prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela;

(b)	savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe;

(c)	savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila;

(d)	izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2;

(e)	ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe;

(f)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.;

(g)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(h)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1.

(i)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.;

(j)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.;

(k)	izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.;

(l)	preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f);

(m)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.;

(n)	potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.;

(o)

provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.;

(p)	određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.;

(q)	Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.;

(r)	Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.;

(s)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom.

(t)	daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.;

(u)	promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela;

(v)	promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija;

(w)	promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

(x)	daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i

(y)	vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti.

2. Ako Komisija zatraži savjet od Odbora, može navesti rok, uzimajući u obzir hitnost predmeta.

3. Odbor prosljeđuje Komisiji i odboru navedenom u članku 93. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.

4. Odbor se prema potrebi savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare. Ne dovodeći u pitanje članak 76. Odbor javno objavljuje rezultate postupka savjetovanja.

whereas

(59) Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor.
Voditelj obrade trebao bi također pružiti sredstva za elektroničku predaju zahtjeva, osobito ako se osobni podaci obrađuju elektronički.
Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana te iznijeti razloge ako voditelj obrade nema namjeru ispuniti bilo koji takav zahtjev.

- = -

(90) U takvim slučajevima, voditelj obrade trebao bi provesti procjenu učinka na zaštitu podataka prije obrade radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika.
Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom.

- = -

(104) Sukladno s temeljnim vrijednostima na kojima se temelji Unija, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako određena treća zemlja poštuje vladavinu prava, pristup pravosuđu kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorske zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo.
Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih normi i zakonodavstva koji su na snaziu trećoj zemlji.
Treća zemlja trebala bi ponuditi jamstva kojima se osigurava primjerena razina zaštite, u načelu istovjetna onoj koja je osigurana u Uniji, posebno kada se osobni podaci obrađuju u jednom ili više određenih sektora.
Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

- = -

(119) Ako država članica osnuje nekoliko nadzornih tijela, zakonom bi trebala uspostaviti mehanizme za osiguravanje djelotvornog sudjelovanja tih nadzornih tijela u mehanizmu konzistentnosti.
Ta bi država članica osobito trebala imenovati nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u mehanizmu kako bi se osigurala brza i neometana suradnja s drugim nadzornim tijelima, Odborom i Komisijom.

- = -

(166) Kako bi se ostvarili ciljevi ove Uredbe, odnosno zaštitila temeljna prava i slobode pojedinaca, a osobito njihova prava na zaštitu osobnih podataka i osiguravanje slobodnog kretanja osobnih podataka unutar Unije, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290.
UFEU-a.
Konkretnije, delegirane akte trebalo bi donositi poštujući kriterije i zahtjeve za mehanizme certificiranja, informacije koje se iznose putem standardiziranih ikona i postupke za utvrđivanje takvih ikona.
Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka.
Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

- = -

dal 2004 diritto e informatica