interactive GDPR 2016/0679 HR

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.	„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.	„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

8.	„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

10.	„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

11.	„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

12.	„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

13.	„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

14.	„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

15.	„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

16.

„glavni poslovni nastan” znači:

(a)

što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem seslučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;

(b)

što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obradenema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;

17.	„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe;

18.	„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;

19.	„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;

20.

„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;

21.	„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.;

22.

„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:

(a)	voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela;

(b)	obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili

(c)	podnesena je pritužba tom nadzornom tijelu.

23.

„prekogranična obrada” znači ili:

(a)	obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili

(b)	obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.

24.

„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije;

25.	„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19);

26.	„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

POGLAVLJE II.

načela

Članak 5.

načela obrade osobnih podataka

1. Osobni podaci moraju biti:

(a)	zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”);

(b)

prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)	primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)	točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

(f)	obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

2. Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati („pouzdanost”).

Članak 25.

Tehnička i integrirana zaštita podataka

1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.

2. Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

3. Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.

Članak 44.

Opća načela prijenosa

Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju odvija se jedino ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz ovog poglavlja koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom.

Članak 47.

Obvezujuća korporativna pravila

1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 68.

Europski odbor za zaštitu podataka

1. Europski odbor za zaštitu podataka („Odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost.

2. Odbor predstavlja njegov predsjednik.

3. Odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici.

4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice.

5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima Odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik Odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka.

6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe.

Članak 83.

Opći uvjeti za izricanje upravnih novčanih kazni

1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)	prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)	ima li kršenje obilježje namjere ili nepažnje;

(c)	svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;

(d)	stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

(e)	svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;

(f)	stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;

(g)	kategorijama osobnih podataka na koje kršenje utječe;

(h)	načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;

(i)	ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;

(j)	poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i

(k)	svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;

(b)	obveza certifikacijskog tijela u skladu s člancima 42. i 43.;

(c)	obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;

5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;

(b)	prava ispitanika u skladu s člancima od 12. do 22.;

(c)	prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;

(d)	svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;

(e)	nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.

8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje.

9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.

Članak 85.

Obrada i sloboda izražavanja i informiranja

1. Države članice zakonom usklađuju pravo na zaštitu osobnih podataka u skladu s ovom Uredbom s pravom na slobodu izražavanja i informiranja, što uključuje obradu u novinarske svrhe i svrhe akademskog, umjetničkog ili književnog izražavanja.

2. U vezi s obradom koja se obavlja u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja, države članice predviđaju izuzeća ili odstupanja od poglavlja II. (načela), poglavlja III. (prava ispitanika), poglavlja IV. (voditelj obrade i izvršitelj obrade), poglavlja V. (prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama), poglavlja VI. (neovisna nadzorna tijela), poglavlja VII. (suradnja i konzistentnost) i poglavlja IX. (posebne situacije obrade) ako su ona potrebna kako bi se uskladilo pravo na zaštitu osobnih podataka sa slobodom izražavanja i informiranja.

3. Svaka država članica Komisiji priopćuje odredbe svojih zakona koje je donijela u skladu sa stavkom 2. te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.

Članak 99.

Stupanje na snagu i primjena

1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2. Primjenjuje se od 25. svibnja 2018.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 27. travnja 2016.

Za Europski parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednica

J.A. HENNIS-PLASSCHAERT

(1) SL C 229, 31.7.2012., str. 90.

(2) SL C 391, 18.12.2012., str. 127.

(3) Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016.

(4) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(5) Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (C(2003) 1422) (SL L 124, 20.5.2003., str. 36.).

(6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(7) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (vidjeti stranicu 89. ovoga Službenog lista).

(8) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(9) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(10) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(11) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.).

(12) Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(13) Uredba (EU) br. 1215/2012 Europskog parlamenta i Vijeća od 12. prosinca 2012. o nadležnosti, priznavanju i izvršenju sudskih odluka u građanskim i trgovačkim stvarima (SL L 351, 20.12.2012., str. 1.).

(14) Direktiva 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL L 345, 31.12.2003., str. 90.).

(15) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.).

(16) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(17) SL C 192, 30.6.2012., str. 7.

(18) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(19) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(20) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(21) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).

whereas

(2) načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca.
Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca.

- = -

(4) Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva.
Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.
Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata Poveljom koja su sadržana u Ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, sloboda mišljenja, savjesti i vjeroispovijedi, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkoviti pravni lijek i pošteno suđenje te pravo na kulturnu, vjersku i jezičnu raznolikost.

- = -

(9) Ciljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da osobito kod internetskih aktivnosti postoje znatni rizici povezani sa zaštitom pojedinaca.
Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u Uniji.
Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije.
Do takve razlike u razinama zaštite došlo je zbog postojanja razlika u provedbi i primjeni Direktive 95/46/EZ.

- = -

(26) načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.
Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi.
Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca.
Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj.
načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi.
Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

- = -

(48) Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika.
Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena.

- = -

(51) Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode.
Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa.
Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.
Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u ovoj Uredbi, uzimajući u obzir da pravom država članica mogu biti propisane posebne odredbe o zaštiti podataka kako bi se prilagodila primjena pravila iz ove Uredbe radi poštovanja pravne obveze ili za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade.
Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu.
Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada čiji je cilj dopustiti ostvarivanje temeljnih sloboda.

- = -

(72) Izrada profila podliježe pravilima ove Uredbe kojima se uređuje obrada osobnih podataka, kao što su pravna osnova obrade ili načela zaštite podataka.
Europski odbor za zaštitu podataka osnovan ovom Uredbom („Odbor”) trebao bi imati mogućnost izdati smjernice u tom kontekstu.

- = -

(73) Pravom Unije ili pravom države članice mogu se uvesti ograničenja s obzirom na posebna načela te s obzirom na ograničenja prava na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničenja prava na prenosivost podataka, prava na prigovor, odluka koje se temelje na izradi profila, kao i ograničenja obavješćivanja ispitanika o povredi osobnih podataka te ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i proporcionalno u demokratskom društvu kako bi se zaštitila javna sigurnost, među ostalim ljudski život posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje ili kršenja etike zakonski uređenih djelatnosti, kako bi se zaštitili drugi važni ciljevi koji su u javnom interesu Unije ili države članice, a posebno važan gospodarski ili financijski interes Unije ili države članice, vođenje javne evidencije u svrhu općeg javnog interesa, daljnja obrada arhiviranih osobnih podataka za potrebe pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarnih državnih režima ili zaštita ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe.
Ta ograničenja trebala bi biti u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

- = -

(78) Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe.
Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.
Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke.
Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka.
načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

- = -

(108) Ako nije donesena odluka o primjerenosti voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika.
Takve odgovarajuće zaštitne mjere mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo.
Tim zaštitnim mjerama trebalo bi osigurati sukladnost sa zahtjevima za zaštitu podataka i prava ispitanikâ primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji.
One bi se trebale osobito odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka, načela tehničke i integrirane zaštite podataka.
Tijela javne vlasti ili tijela s javnim ovlastima ili tijela u trećim zemljama ili pri međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima mogu također obavljati prijenose, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane poput memoranduma o razumijevanju, kojima se ispitaniku osiguravaju ostvariva i učinkovita prava.
Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi ovlaštenje nadležnog nadzornog tijela.

- = -

(110) Grupa poduzetnika ili grupa poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika ili grupe poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti, ako korporativna pravila obuhvaćaju sva osnovna načela i provediva prava za osiguranje odgovarajućih zaštitnih mjera za prijenose ili kategorije prijenosa osobnih podataka.

- = -

(149) Države članice trebale bi imati mogućnost propisati pravila o kaznenim sankcijama za kršenja ove Uredbe, uključujući i kršenja nacionalnih pravila donesenih na temelju ove Uredbe i unutar njezinih granica.
Te kaznene sankcije mogu obuhvaćati i oduzimanje dobiti stečene kršenjem ove Uredbe.
Međutim, izricanje kazni za povrede takvih nacionalnih pravila i upravnih sankcija ne bi smjelo dovesti do kršenja načela ne bis in idem, kako ga tumači Sud.

- = -

(153) U pravu država članica trebalo bi uskladiti pravila kojima se uređuje sloboda izražavanja i informiranja, među ostalim novinarskog, akademskog, umjetničkog i/ili književnog izražavanja s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.
Na obradu osobnih podataka isključivo u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja trebalo bi primjenjivati odstupanja ili izuzeća od određenih odredaba ove Uredbe, ako je to potrebno kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i informiranja, kako je utvrđeno u članku 11.
Povelje.
To bi se posebno trebalo primjenjivati na obradu osobnih podataka u audiovizualnom području te u novinskim i medijskim arhivima.
Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava.
Države članice trebale bi usvojiti takva izuzeća i odstupanja u pogledu općih načela, pravâ ispitanika, u pogledu voditelja obrade i izvršitelja obrade, prijenosa osobnih podataka u treće zemlje ili međunarodne organizacije, neovisnih nadzornih tijela, suradnje i usklađenosti te posebnih slučajeva obrade podataka.
Ako se ta izuzeća i odstupanja razlikuju od jedne države članice do druge trebalo bi se primjenjivati pravo države članice koje se primjenjuje na voditelja obrade.
Radi uzimanja u obzir važnosti prava na slobodu izražavanja u svakom demokratskom društvu potrebno je široko tumačiti pojmove u vezi s tom slobodom, kao što je novinarstvo.

- = -

(154) Ovom se Uredbom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kada se primjenjuje ova Uredba.
Može se smatrati da je javni pristup službenim dokumentima u javnom interesu.
Tijelo javne vlasti ili javno tijelo trebalo bi imati mogućnost javno objaviti osobne podatke iz dokumenata koje takvo tijelo javne vlasti ili javno tijelo posjeduje ako je ta objava predviđena pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili javno tijelo.
Takvim propisima trebali bi se uskladiti javni pristup službenim dokumentima i ponovna uporaba informacija iz javnog sektora s pravom na zaštitu osobnih podataka te bi se njima stoga moglo predvidjeti potrebno usklađivanje s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.
Upućivanje na tijela javne vlasti i javna tijela trebalo bi u ovom kontekstu obuhvaćati sva tijela vlasti ili druga tijela obuhvaćena pravom države članice u pogledu javnog pristupa dokumentima.
Direktivom 2003/98/EZ Europskog parlamenta i Vijeća (14) ne mijenja se niti se u bilo kojem pogledu utječe na razinu zaštite pojedinaca s obzirom na obradu osobnih podataka na temelju odredaba iz prava Unije i prava države članice, a osobito se njome ne mijenjaju obveze i prava utvrđena u ovoj Uredbi.
Ta se Direktiva osobito ne bi smjela primjenjivati na dokumente kojima je pristup izuzet ili ograničen režimima pristupa radi zaštite osobnih podataka te na dijelove dokumenata kojima se može pristupiti pomoću tih režima, a koji sadrže osobne podatke čija je ponovna upotreba predviđena zakonom kao upotreba koja nije u skladu s pravom u pogledu zaštite pojedinaca s obzirom na obradu osobnih podataka.

- = -

(156) Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom.
Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka.
Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (poput, primjerice, pseudonimizacije osobnih podataka).
Države članice trebale bi osigurati odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Države članice trebale bi biti ovlaštene predvidjeti, pod posebnim uvjetima i uz primjenu odgovarajućih zaštitnih mjera za ispitanike, specifikacije i odstupanja u pogledu zahtjevâ za informiranjem, pravâ na ispravak, na brisanje, na zaborav, na ograničavanja obrade, na prenosivost podataka te na podnošenje prigovora pri obradi osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Dotični uvjeti i zaštitne mjere mogu podrazumijevati posebne postupke za ispitanike kako bi oni mogli ostvarivati ta prava ako je to primjereno s obzirom na svrhu posebne obrade, uz tehničke i organizacijske mjere usmjerene na smanjenje obrade osobnih podataka na najmanju mjeru kako bi se poštovala načela proporcionalnosti i nužnosti.
Obrada osobnih podataka u znanstvene svrhe također bi trebala biti u skladu s drugim relevantnim zakonodavstvom, poput zakonodavstva o kliničkim ispitivanjima.

- = -

dal 2004 diritto e informatica