interactive GDPR 2016/0679 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- obrade 117
- tijela 111
- tijelo 101
- skladu 91
- podataka 85
- nadzorno 83
- koje 61
- članka 58
- stavka 57
- članka 51
- odbora 43
- člankom 41
- koji 38
- zaštitu 38
- temelju 36
- ovog 34
- nadzornog 32
- odbor 32
- osobnih 31
- Članak 28
- mišljenje 27
- može 27
- uredbe 27
- stavkom 27
- odluke 26
- nadležno 24
- europskog 24
- članice 23
- ponašanja 23
- ako 22
- zaštite 22
- nadzornih 22
- vijeća 22
- kodeksa 22
- države 21
- parlamenta 21
- nacrt 21
- zahtjev 20
- koja 20
- stavka 20
- nadzorna 20
- odluka 19
- mjere 19
- članica 19
- prava 19
- ispitanika 19
- pitanje 18
- pravila 18
- država 18
- kako 18
Članak 35.
Procjena učinka na zaštitu podataka
1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.
2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.
3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:
| (a) | sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca; |
| (b) | opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili |
| (c) | sustavnog praćenja javno dostupnog područja u velikoj mjeri. |
4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise odboru iz članka 68.
5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise odboru.
6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.
7. Procjena sadrži barem:
| (a) | sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade; |
| (b) | procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama; |
| (c) | procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i |
| (d) | mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba. |
8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.
9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.
10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.
11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.
Članak 40.
Kodeksi ponašanja
1. Države članice, nadzorna tijela, odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.
2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:
| (a) | poštene i transparentne obrade; |
| (b) | legitimnih interesa voditelj obrade u posebnim kontekstima; |
| (c) | prikupljanja osobnih podataka; |
| (d) | pseudonimizacije osobnih podataka; |
| (e) | informiranja javnosti i ispitanika; |
| (f) | ostvarivanja prava ispitanika; |
| (g) | informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom; |
| (h) | mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.; |
| (i) | izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama; |
| (j) | prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili |
| (k) | izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79. |
3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.
4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.
5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.
6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.
7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.
8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, odbor predaje svoje mišljenje Komisiji.
9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.
11. odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.
Članak 41.
Praćenje odobrenih kodeksa ponašanja
1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., praćenje sukladnosti s kodeksom ponašanja u skladu s člankom 40. može provoditi tijelo s odgovarajućim stupnjem stručnosti za predmet kodeksa i koje je u tu svrhu akreditiralo nadležno nadzorno tijelo.
2. Tijelo iz stavka 1. može biti akreditirano za praćenje sukladnosti s kodeksom ponašanja ako je to tijelo:
| (a) | nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa; |
| (b) | uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja; |
| (c) | uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i |
| (d) | nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa. |
3. Nadležno nadzorno tijelo predaje nacrt kriterija za akreditaciju tijela iz stavka 1. ovog članka odboru u skladu s mehanizmom konzistentnosti iz članka 63.
4. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela i odredbe poglavlja VIII., tijelo iz stavka 1. ovog članka, uz primjenu prikladnih zaštitnih mjera, poduzima odgovarajuće radnje u slučajevima u kojima voditelj obrade ili izvršitelj obrade krše kodeks, što uključuje suspendiranje ili isključivanje dotičnog voditelja obrade ili izvršitelja obrade iz kodeksa. Ono izvješćuje nadležno nadzorno tijelo o takvim radnjama i razlozima za njihovo poduzimanje.
5. Nadležno nadzorno tijelo povlači akreditaciju tijela iz stavka 1. ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili radnje koje provodi tijelo krše ovu Uredbu.
6. Ovaj članak ne primjenjuje se na obradu obavljaju tijela javne vlasti i javna tijela.
Članak 42.
Certificiranje
1. Države članice, nadzorna tijela, odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.
2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.
3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.
4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.
5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili odbor na temelju članka 63.Ako je odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.
6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.
7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.
8. odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.
Članak 43.
Certifikacijska tijela
1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:
| (a) | nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.; |
| (b) | nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56. |
2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:
| (a) | nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja; |
| (b) | obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili odbor na temelju članka 63.; |
| (c) | uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka; |
| (d) | uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i |
| (e) | nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa. |
3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.
4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.
5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.
6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije odboru. odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.
7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.
8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.
9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
POGLAVLJE V.
Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama
Članak 47.
Obvezujuća korporativna pravila
1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:
| (a) | su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode; |
| (b) | izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i |
| (c) | ispunjavaju uvjete utvrđene u stavku 2. |
2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:
| (a) | strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova; |
| (b) | prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ; |
| (c) | njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van; |
| (d) | primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima; |
| (e) | prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila; |
| (f) | da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu; |
| (g) | kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.; |
| (h) | zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi; |
| (i) | postupke povodom pritužbi; |
| (j) | mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu; |
| (k) | mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama; |
| (l) | mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j); |
| (m) | mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i |
| (n) | odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima. |
3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.
Članak 51.
Nadzorno tijelo
1. Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Uredbe kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije („nadzorno tijelo”).
2. Svako nadzorno tijelo doprinosi dosljednoj primjeni ove Uredbe u cijeloj Uniji. U tu svrhu nadzorna tijela surađuju međusobno i s Komisijom u skladu s poglavljem VII.
3. Ako u državi članici postoji više od jednog nadzornog tijela, ta država članica imenuje nadzorno tijelo koje ta tijela predstavlja u odboru i uspostavlja mehanizam kojim se osigurava da druga tijela poštuju pravila u vezi s mehanizmom konzistentnosti iz članka 63.
4. Svaka država članica izvješćuje Komisiju o odredbama zakona koje donosi u skladu s ovim poglavljem do 25. svibnja 2018. i, bez odgode, o svim naknadnim izmjenama koje na njih utječu.
Članak 52.
Neovisnost
1. Svako nadzorno tijelo djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom.
2. Član ili članovi svakog nadzornog tijela moraju biti slobodni od vanjskog utjecaja, bilo izravnog bilo neizravnog, pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom te ne smiju tražiti ni primati upute ni od koga.
3. Član ili članovi svakog nadzornog tijela moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima te se tijekom svojeg mandata ne smiju baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li ona plaćena ili ne.
4. Svaka država članica osigurava da svako nadzorno tijelo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti, uključujući one koje treba izvršavati u kontekstu uzajamne pomoći, suradnje i sudjelovanja u odboru.
5. Svaka država članica osigurava da svako nadzorno tijelo odabire i ima vlastito osoblje kojim isključivo rukovodi član ili članovi predmetnog nadzornog tijela.
6. Svaka država članica osigurava da svako nadzorno tijelo podliježe financijskoj kontroli koja ne utječe na njegovu neovisnost i da ima zasebne, javne, godišnje proračune koji mogu biti dio cjelokupnog državnog ili nacionalnog proračuna.
Članak 57.
Zadaće
1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:
| (a) | prati i provodi primjenu ove Uredbe; |
| (b) | promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost; |
| (c) | savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade; |
| (d) | promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe; |
| (e) | na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama; |
| (f) | rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom; |
| (g) | surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe; |
| (h) | provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti; |
| (i) | prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi; |
| (j) | donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d); |
| (k) | utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| (l) | daje savjete o postupcima obrade iz članka 36. stavka 2.; |
| (m) | potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.; |
| (n) | potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.; |
| (o) | prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.; |
| (p) | sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| (q) | provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| (r) | odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.; |
| (s) | odobrava obvezujuća korporativna pravila u skladu s člankom 43.; |
| (t) | doprinosi aktivnostima odbora; |
| (u) | vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i |
| (v) | ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka. |
2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.
3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka.
4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu.
Članak 59.
Izvješća o aktivnostima
Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrste mjera poduzetih u skladu s člankom 58. stavkom 2. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je određeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i odboru.
POGLAVLJE VII.
Suradnja i konzistentnost
Članak 60.
Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela
1. Vodeće nadzorno tijelo surađuje s drugim predmetnim nadzornim tijelima u skladu s ovim člankom kako bi se nastojao postići konsenzus. Vodeće nadzorno tijelo i predmetna nadzorna tijela međusobno razmjenjuju sve bitne informacije.
2. Vodeće nadzorno tijelo može u bilo kojem trenutku od drugih predmetnih nadzornih tijela zatražiti pružanje uzajamne pomoći u skladu s člankom 61. te može provoditi zajedničke operacije u skladu s člankom 62., posebno vođenje istraga ili praćenja provedbe mjere u vezi s voditeljem obrade ili izvršiteljem obrade s poslovnim nastanom u drugoj državi članici.
3. Vodeće nadzorno tijelo bez odgađanja obavješćuje o bitnim informacijama u vezi s predmetom druga predmetna nadzorna tijela. Bez odgađanja podnosi nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te pridaje dužnu pozornost njihovim stajalištima.
4. Ako neko od drugih predmetnih nadzornih tijela u roku od četiri tjedna nakon što je u skladu sa stavkom 3. ovog članka bilo obaviješteno izrazi relevantan i obrazložen prigovor na nacrt odluke, ako relevantan i obrazložen prigovor ne uzme u obzir ili smatra da prigovor nije relevantan ili obrazložen, vodeće nadzorno tijelo predmet predaje na rješavanje u sklopu mehanizma konzistentnosti iz članka 63.
5 Ako vodeće nadzorno tijelo namjerava uzeti u obzir relevantan i obrazložen prigovor, revidirani nacrt odluke podnosi drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje. Na taj revidirani nacrt odluke primjenjuje se postupak iz stavka 4. u roku od dva tjedna.
6. Ako ni jedno od drugih predmetnih nadzornih tijela ne uloži prigovor na nacrt odluke koju je podnijelo vodeće nadzorno tijelo u roku navedenom u stavcima 4. i 5. smatra se da se vodeće nadzorno tijelo i predmetna nadzorna tijela slažu s tim nacrtom odluke i on je za njih obvezujući.
7. Vodeće nadzorno tijelo donosi odluku i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade, prema potrebi, te obavješćuje druga predmetna nadzorna tijela i odbor o dotičnoj odluci prilažući i bitne činjenice i obrazloženja. Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o odluci.
8. Odstupajući od stavka 7., ako je pritužba odbačena ili odbijena, nadzorno tijelo kojem je podnesena pritužba donosi odluku i dostavlja je podnositelju pritužbe te o tome obavješćuje voditelja obrade.
9. Ako su se vodeće nadzorno tijelo i predmetna nadzorna tijela složili odbaciti ili odbiti dijelove pritužbe, a u obzir uzeti druge dijelove te pritužbe, donosi se odvojena odluka za svaki dio predmeta. Vodeće nadzorno tijelo donosi odluku za dio koji se odnosi na djelovanja u vezi s voditeljem obrade i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade na državnom području svoje države članice te o tome izvješćuje podnositelja pritužbe, dok nadzorno tijelo podnositelja pritužbe donosi odluku za dio koji se odnosi na odbacivanje ili odbijanje te pritužbe i o toj ga pritužbi obavješćujete o tome izvješćuje voditelja obrade ili izvršitelja obrade.
10. Nakon što ga vodeće nadzorno tijelo u skladu sa stavcima 7. i 9. obavijesti o odluci, voditelj obrade ili izvršitelj obrade poduzima potrebne mjere kako bi osigurao da se odluka poštuje u odnosu na aktivnosti obrade, s obzirom na sve njegove poslovne nastane u Uniji. Voditelj obrade ili izvršitelj obrade o poduzetim mjerama za poštivanje odluke obavješćuju vodeće nadzorno tijelo koje izvješćuje druga predmetna nadzorna tijela.
11. Ako u izuzetnim okolnostima predmetno nadzorno tijelo ima razloga smatrati da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi ispitanika, primjenjuje se hitni postupak iz članka 66.
12. Vodeće nadzorno tijelo i druga predmetna nadzorna tijela međusobno si dostavljaju informacije koje se zahtijevaju u skladu s ovim člankom elektroničkim putem, koristeći se standardiziranim formatom.
Članak 61.
Uzajamna pomoć
1. Nadzorna tijela međusobno si pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Uredbu i uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora, kao što su zahtjevi za provedbom prethodnog odobravanja i savjetovanja, inspekcija i istraga.
2. Svako nadzorno tijelo poduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana nakon što je zaprimilo zahtjev. Takve mjere mogu posebno obuhvaćati prijenos bitnih informacija o vođenju istrage.
3. Zahtjevi za pomoć moraju sadržavati sve potrebne informacije, uključujući svrhu i razloge za zahtjev. Razmijenjene informacije smiju se upotrebljavati samo u zatraženu svrhu.
4. Nadzorno tijelo kojem je upućen zahtjev ne smije odbiti udovoljiti zahtjevu osim u slučaju da:
| (a) | nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili |
| (b) | poštovanje zahtjeva kršilo bi ovu Uredbu, pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo kojem je zahtjev upućen. |
5. Nadzorno tijelo kojem je upućen zahtjev izvješćuje nadzorno tijelo koje je podnijelo zahtjev o rezultatima ili, ovisno o slučaju, o napretku ili mjerama poduzetim da se zahtjev ispuni. Nadzorno tijelo kojem je upućen zahtjev obrazlaže razloge za svako odbijanje zahtjeva na temelju stavka 4.
6. Nadzorna tijela kojima je upućen zahtjev u pravilu pružaju informacije koje druga nadzorna tijela zatraže elektroničkim putem, koristeći se standardiziranim formatom.
7. Za bilo koju radnju poduzetu na zahtjev za uzajamnom pomoći nadzorno tijelo kojem je upućen zahtjev ne naplaćuje nikakvu pristojbu. Nadzorna tijela mogu dogovoriti pravila za uzajamne naknade posebnih izdataka koji proizlaze iz pružanja uzajamne pomoći u izvanrednim okolnostima.
8. Ako nadzorno tijelo ne pruži informacije iz stavka 5. ovog članka u roku od mjesec dana nakon zaprimanja zahtjeva drugog nadzornog tijela, nadzorno tijelo koje je podnijelo zahtjev može donijeti privremenu mjeru na državnom području svoje države članice u skladu s člankom 55. stavkom 1. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitna obvezujuća odluka odbora u skladu s člankom 66. stavkom 2.
9. Komisija može, putem provedbenih akta, odrediti format i postupke za uzajamnu pomoć iz ovog članka i sustave razmjene informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i odbora, a posebno standardizirani format iz stavka 6. ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2.
Članak 62.
Zajedničke operacije nadzornih tijela
1. Nadzorna tijela prema potrebi provode zajedničke operacije, uključujući zajedničke istrage i zajedničke mjere provedbe u kojima sudjeluju članovi ili osoblje nadzornih tijela drugih država članica.
2. Ako voditelj obrade ili izvršitelj obrade ima poslovne nastane u nekoliko država članica ili kad postoji vjerojatnost da će postupci obrade bitno utjecati na znatan broj ispitanika u više od jedne države članice, nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim operacijama. Nadzorno tijelo nadležno u skladu s člankom 56. stavkom 1. ili 4. poziva nadzorno tijelo svake od tih država članica da sudjeluje u zajedničkim operacijama i bez odgađanja odgovara na zahtjev nadzornog tijela za sudjelovanjem.
3. Nadzorno tijelo može, u skladu s pravom države članice, i uz odobrenje gostujućeg nadzornog tijela, dati ovlasti, među ostalim i ovlasti za vođenje istrage članovima ili osoblju gostujućeg nadzornog tijela koje sudjeluje u zajedničkim operacijama ili, u onoj mjeri u kojoj dopušta pravo države članice nadzornog tijela domaćina, odobriti članovima ili osoblju gostujućeg nadzornog tijela izvršavanje njihovih istražnih ovlasti u skladu s pravom države članice gostujućeg nadzornog tijela. Takve se istražne ovlasti mogu obavljati samo prema smjernicama članova ili osoblja nadzornog tijela domaćina i u njihovoj nazočnosti. Na članove ili osoblje gostujućeg nadzornog tijela primjenjuje se pravo države članice nadzornog tijela domaćina.
4. Ako, u skladu sa stavkom 1., osoblje gostujućeg nadzornog tijela djeluje u drugoj državi članici, država članica nadzornog tijela domaćina preuzima odgovornost za njihovo djelovanje, što uključuje odgovornost za svaku štetu koju to osoblje počini tijekom svojih operacija, u skladu s pravom države članice na čijem državnom području djeluje.
5. Država članica na čijem je državnom području šteta uzrokovana nadoknađuje takvu štetu pod uvjetima koji se primjenjuju kad štetu uzrokuje njezino osoblje. Država članica gostujućeg nadzornog tijela čije je osoblje uzrokovalo štetu bilo kojoj osobi na državnom području druge države članice toj državi članici nadoknađuje u potpunosti svaki iznos koji je ona platila osobama ovlaštenima u ime oštećene osobe.
6. Ne dovodeći u pitanje ostvarivanje svog prava u odnosu na treće strane i uz iznimku stavka 5. svaka država članica u slučaju predviđenom u stavku 1. suzdržava se od zahtjeva prema drugoj državi članici za naknadu štete iz stavka 4.
7. Kada se planira zajednička operacija i nadzorno tijelo u roku od mjesec dana ne ispuni obveze iz druge rečenice stavka 2. ovog članka, druga nadzorna tijela mogu donijeti privremenu mjeru na državnom području države članice za koje je nadležno u skladu s člankom 55. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitno mišljenje ili hitna obvezujuća odluka odbora u skladu s člankom 66. stavkom 2.
Članak 64.
Mišljenje odbora
1. odbor daje mišljenje kada nadležno nadzorno tijelo namjerava donijeti bilo koju od mjera navedenih dalje u tekstu. Nadležno nadzorno tijelo u tu svrhu obavješćuje odbor o nacrtu odluke ako ona:
| (a) | ima za cilj donijeti popis postupaka obrade na koje se primjenjuje zahtjev procjene učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| (b) | odnosi se na pitanje u skladu s člankom 40. stavkom 7. o tome jesu li nacrt kodeksa ponašanja ili izmjena ili dopuna kodeksa ponašanja usklađeni s ovom Uredbom; |
| (c) | ima za cilj odobriti kriterije za akreditaciju tijela na temelju članka 41. stavka 3. ili certifikacijskog tijela na temelju članka 43. stavka 3.; |
| (d) | ima za cilj odrediti standardne klauzule zaštite podataka iz članka 46. stavka 2. točke (d) i iz članka 28. stavka 8.; |
| (e) | ima za cilj odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); ili |
| (f) | ima za cilj odobriti obvezujuća korporativna pravila u smislu članka 47. |
2. Svako nadzorno tijelo, predsjednik odbora ili Komisija mogu zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda odbor kako bi on dao mišljenje, posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. ili o zajedničkim operacijama u skladu s člankom 62.
3. U slučajevima koji se navode u stavcima 1. i 2. odbor daje mišljenje o predmetu koji je zaprimio ako već nije dao mišljenje o istoj stvari. To mišljenje usvaja se u roku od osam tjedana natpolovičnom većinom članova odbora. Taj se rok može produžiti za dodatnih šest tjedana, uzimajući u obzir složenost predmeta. S obzirom na nacrt odluke iz stavka 1. koja se članovima odbora dostavlja u skladu sa stavkom 5. smatra se da se član koji nije uložio prigovor u razumnom roku koji je odredio predsjednik slaže s nacrtom odluke.
4. Nadzorna tijela i Komisija bez nepotrebnog odgađanja elektroničkim putem priopćuju odboru, upotrebljavajući standardizirani format, sve bitne informacije, uključujući, ovisno o slučaju, i sažetak činjenica, nacrt odluke, razloge zbog kojih je poduzimanje takve mjere neophodno i mišljenja drugih predmetnih nadzornih tijela.
5. Predsjednik odbora bez nepotrebnog odgađanja elektroničkim putem izvješćuje:
| (a) | članove odbora i Komisiju o svim bitnim informacijama koje su mu priopćene upotrebljavajući standardizirani format. Tajništvo odbora prema potrebi omogućuje prijevode bitnih informacija; i |
| (b) | nadzorno tijelo iz stavaka 1. i 2., ovisno o slučaju, i Komisiju o mišljenju i objavljuje ga. |
6. Nadležno nadzorno tijelo ne donosi svoj nacrt odluke iz stavka 1. tijekom roka iz stavka 3.
7. Nadzorno tijelo iz stavka 1. osobito uvažava mišljenje odbora i u roku od dva tjedna od zaprimanja mišljenja elektroničkim putem obavješćuje predsjednika odbora o tome zadržava li ili mijenja svoj nacrt odluke, te izmijenjeni nacrt odluke, ako ga ima, dostavlja u standardiziranom formatu.
8. Ako predmetno nadzorno tijelo obavijesti predsjednika odbora u roku navedenom u stavku 7. ovog članka da ne namjerava u obzir uzeti mišljenje odbora, u cijelosti ili djelomično, uz relevantno obrazloženje, primjenjuje se članak 65. stavak 1.
Članak 65.
Rješavanje sporova pri odboru
1. Kako bi se osigurala ispravna i dosljedna primjena ove Uredbe u pojedinačnim slučajevima, odbor donosi obvezujuću odluku u sljedećim slučajevima:
| (a) | ako je, u slučaju iz članka 60. stavka 4., predmetno nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg tijela ili je vodeće tijelo odbilo takav prigovor kao nerelevantan ili neobrazložen. Obvezujuća odluka odnosi se na sva pitanja koja su predmet relevantnog i obrazloženog prigovora, a posebno na pitanje kršenja ove Uredbe; |
| (b) | ako postoje oprečna stajališta oko toga koje je od predmetnih nadzornih tijela nadležno za glavni poslovni nastan; |
| (c) | ako nadležno nadzorno tijelo ne zatraži mišljenje odbora u slučaju navedenom u članku 64. stavku 1. ili ne uzme u obzir mišljenje odbora dano u skladu s člankom 64. U tom slučaju svako predmetno nadzorno tijelo ili Komisija mogu o predmetu obavijestiti odbor. |
2. Odluka iz stavka 1. donosi se u roku od mjesec dana nakon što dvotrećinska većina članova odbora uputi predmet. Taj se rok može produžiti za dodatnih mjesec dana, uzimajući u obzir složenost predmeta. Odluka iz stavka 1. obrazlaže se i upućuje vodećem nadzornom tijelu i svim predmetnim nadzornim tijelima te je za njih obvezujuća.
3. Ako odbor ne može donijeti odluku u rokovima navedenim u stavku 2., odluku će donijeti u roku od dva tjedna nakon isteka drugog mjeseca iz stavka 2. natpolovičnom većinom članova odbora. Ako su članovi odbora podijeljenog mišljenja, odlučujući glas za donošenje odluke jest predsjednikov.
4. Predmetna nadzorna tijela ne donose odluku o predmetu upućenom odboru u skladu sa stavkom 1. za vrijeme rokova navedenih u stavcima 2. i 3.
5. Predsjednik odbora obavješćuje bez odlaganja zainteresirana nadzorna tijela o odluci iz stavka 1. O njoj obavješćuje Komisiju. Odluka se bez odlaganja objavljuje na internetskim stranicama odbora nakon što je nadzorno tijelo priopćilo konačnu odluku iz stavka 7.
6. Vodeće nadzorno tijelo ili, ovisno o slučaju, nadzorno tijelo koje je zaprimilo pritužbu svoju konačnu odluku donosi na temelju odluke iz stavka 1. ovog članka bez nepotrebnog odlaganja i najkasnije mjesec dana nakon što je odbor priopćio svoju odluku. Vodeće nadzorno tijelo ili, ovisno o slučaju, nadzorno tijelo koje je zaprimilo pritužbu, obavješćuje odbor kojeg je dana svoju konačnu odluku priopćilo voditelju obrade ili izvršitelju obrade odnosno ispitaniku. Konačna odluka predmetnih nadzornih tijela donosi se pod uvjetima iz članka 60. stavaka 7., 8. i 9. U konačnoj odluci poziva se na odluku iz stavka 1. ovog članka i u njoj se navodi da se odluka iz tog stavka objavljuje na internetskim stranicama odbora u skladu sa stavkom 5. ovog članka. Konačnoj odluci prilaže se odluka iz stavka 1. ovog članka.
Članak 66.
Hitni postupak
1. U izuzetnim okolnostima, ako predmetno nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika, ono može, odstupajući od mehanizma konzistentnosti iz članak 63., 64. i 65. ili postupka iz članka 60., odmah donijeti privremene mjere kojima se proizvode pravni učinci na svom području na određeno razdoblje valjanosti koje nije duže od tri mjeseca. Nadzorno tijelo bez odgađanja obavješćuje druga predmetna nadzorna tijela, odbor i Komisiju o tim mjerama i razlozima za njihovo donošenje.
2. Ako nadzorno tijelo poduzme mjeru u skladu sa stavkom 1. i smatra da treba hitno donijeti završne mjere, ono može zatražiti hitno mišljenje ili hitnu obvezujuću odluku odbora, navodeći razloge za traženje takvog mišljenja ili odluke.
3. Svako nadzorno tijelo može zatražiti hitno mišljenje ili hitnu obvezujuću odluku, ovisno o slučaju, od odbora ako nadležno nadzorno tijelo nije poduzelo prikladnu mjeru u situaciji kada postoji hitna potreba za djelovanjem radi zaštite prava i sloboda ispitanika, uz obrazloženje traženja takvog mišljenja ili odluke uključujući i hitne potrebe za djelovanjem.
4. Odstupajući od članka 64. stavka 3. i članka 65. stavka 2. hitno mišljenje ili hitna obvezujuća odluka iz stavaka 2. i 3. ovog članka donosi se u roku od dva tjedna natpolovičnom većinom članova odbora.
Članak 67.
Razmjena informacija
Komisija može donijeti provedbene akte općeg područja primjene radi određivanja aranžmana za razmjenu informacija između nadzornih tijela elektroničkim putem i između nadzornih tijela i odbora, osobito standardiziranog formata iz članka 64.
Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2.
Članak 68.
Europski odbor za zaštitu podataka
1. Europski odbor za zaštitu podataka („odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost.
2. odbor predstavlja njegov predsjednik.
3. odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici.
4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice.
5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka.
6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe.
Članak 69.
Neovisnost
1. odbor djeluje neovisno kada obavlja svoje zadaće ili izvršava svoje ovlasti u skladu s člancima 70. i 71.
2. Ne dovodeći u pitanje zahtjeve Komisije iz članka 70. stavka 1. točke (b) i članka 70. stavka 2., odbor pri obavljanju svojih zadaća ili izvršavanju svojih ovlasti ne smije tražiti ni primati upute ni od koga.
Članak 70.
Zadaće odbora
1. odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito:
| (a) | prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela; |
| (b) | savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe; |
| (c) | savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; |
| (d) | izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2; |
| (e) | ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe; |
| (f) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.; |
| (g) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka; |
| (h) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1. |
| (i) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.; |
| (j) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.; |
| (k) | izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.; |
| (l) | preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f); |
| (m) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.; |
| (n) | potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.; |
| (o) | provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.; |
| (p) | određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.; |
| (q) | Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.; |
| (r) | Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.; |
| (s) | daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom. |
| (t) | daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.; |
| (u) | promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela; |
| (v) | promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija; |
| (w) | promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta. |
| (x) | daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i |
| (y) | vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti. |
2. Ako Komisija zatraži savjet od odbora, može navesti rok, uzimajući u obzir hitnost predmeta.
3. odbor prosljeđuje Komisiji i odboru navedenom u članku 93. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.
4. odbor se prema potrebi savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare. Ne dovodeći u pitanje članak 76. odbor javno objavljuje rezultate postupka savjetovanja.
Članak 71.
Izvješća
1. odbor izrađuje godišnje izvješće u pogledu zaštite fizičkih osoba s obzirom na obradu u Uniji i, prema potrebi, u trećim zemljama i međunarodnim organizacijama. Izvješće se objavljuje i prenosi Europskom parlamentu, Vijeću i Komisiji.
2. Godišnje izvješće obuhvaća preispitivanje praktične primjene smjernica, preporuka i primjera najbolje prakse iz članka 70. stavka 1. točke (l) te obvezujućih odluka iz članka 65.
Članak 72.
Postupak
1. Ako nije drukčije predviđeno ovom Uredbom, odbor donosi odluke natpolovičnom većinom glasova svojih članova.
2. odbor svoj poslovnik donosi dvotrećinskom većinom glasova svojih članova i organizira vlastite operativne aranžmane.
Članak 73.
Predsjednik
1. odbor izabire predsjednika i dva zamjenika predsjednika iz redova svojih članova natpolovičnom većinom.
2. Mandat predsjednika i zamjenikâ predsjednika traje pet godina i može se produljiti jedanput.
Članak 74.
Zadaće predsjednika
1. Predsjednik ima sljedeće zadaće:
| (a) | saziva sastanke odbora i priprema njegov dnevni red; |
| (b) | obavješćuje vodeće nadzorno tijelo i predmetna nadzorna tijela o odlukama koje je donio odbor u skladu s člankom 65.; |
| (c) | osigurava pravodobno izvršavanje zadaća odbora, osobito u vezi s mehanizmom konzistentnosti iz članka 63. |
2. odbor poslovnikom propisuje raspodjelu zadaća između predsjednika i zamjenikâ predsjednika.
Članak 75.
Tajništvo
1. odbor ima tajništvo koje osigurava Europski nadzornik za zaštitu podataka.
2. Tajništvo obavlja svoje zadaće isključivo prema uputama predsjednika odbora.
3. Na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene odboru primjenjuju se odvojene linije izvješćivanja od onih za osoblje koje sudjeluje u obavljanju zadaća povjerenih Europskom nadzorniku za zaštitu podataka.
4. odbor i Europski nadzornik za zaštitu podataka prema potrebi utvrđuju i objavljuju memorandum o razumijevanju za provedbu ovog članka u kojem se utvrđuju uvjeti međusobne suradnje i koji se primjenjuje na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene odboru.
5. Tajništvo pruža analitičku, administrativnu i logističku potporu odboru.
6. Tajništvo je osobito odgovorno za:
| (a) | tekuće poslove odbora; |
| (b) | komunikaciju između članova odbora, njegova predsjednika i Komisije; |
| (c) | komunikaciju s drugim institucijama i javnošću; |
| (d) | uporabu elektroničkih sredstava za internu i eksternu komunikaciju; |
| (e) | prijevode bitnih informacija; |
| (f) | pripremu sastanaka odbora i daljnje postupanje; |
| (g) | pripremu, izradu i objavu mišljenja, odluka o rješavanju sporova među nadzornim tijelima i drugih tekstova koje odbor donosi. |
Članak 76.
Povjerljivost
1. Rasprave odbora povjerljive su ako tako odluči odbor, kako je predviđeno u njegovom poslovniku.
2. Pristup dokumentima podnesenima članovima odbora, stručnjacima i predstavnicima trećih strana uređuje se Uredbom (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (21).
POGLAVLJE VIII.
Pravna sredstva, odgovornost i sankcije
Članak 78.
Pravo na učinkoviti pravni lijek protiv nadzornog tijela
1. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka fizička ili pravna osoba ima pravo na učinkoviti pravni lijek protiv pravno obvezujuće odluke nekog nadzornog tijela koja se na nju odnosi.
2. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek svaki ispitanik ima pravo na učinkoviti pravni lijek ako nadzorno tijelo nadležno na temelju članaka 55. i 56. ne riješi pritužbu ili ne izvijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe podnesene na temelju članka 77.
3. Postupci protiv nadzornog tijela vode se pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan.
4. Ako je pokrenut postupak protiv odluke nadzornog tijela kojoj je prethodilo mišljenje ili odluka odbora u okviru mehanizma konzistentnosti, nadzorno tijelo prosljeđuje to mišljenje ili odluku sudu.
Članak 93.
Postupak odbora
1. Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.
2. Pri upućivanju na ovaj stavak, primjenjuje se članak 5. Uredbe (EU) br. 182/2011.
3. Pri upućivanju na ovaj stavak, primjenjuje se članak 8. Uredbe (EU) br. 182/2011 zajedno s njezinim člankom 5.
POGLAVLJE XI.
Završne odredbe
Članak 94.
Stavljanje izvan snage Direktive 95/46/EZ
1. Direktiva 95/46/EZ stavlja se izvan snage s učinkom od 25. svibnja 2018.
2. Upućivanja na direktivu koja je stavljena izvan snage tumače se kao upućivanja na ovu Uredbu. Upućivanja na Radnu skupinu o zaštiti pojedinaca s obzirom na obradu osobnih podataka osnovanu člankom 29. Direktive 95/46/EZ tumače se kao upućivanja na Europski odbor za zaštitu podataka osnovan ovom Uredbom.
Članak 99.
Stupanje na snagu i primjena
1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.
2. Primjenjuje se od 25. svibnja 2018.
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
Sastavljeno u Bruxellesu 27. travnja 2016.
Za Europski parlament
Predsjednik
M. SCHULZ
Za Vijeće
Predsjednica
J.A. HENNIS-PLASSCHAERT
(1) SL C 229, 31.7.2012., str. 90.
(2) SL C 391, 18.12.2012., str. 127.
(3) Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016.
(4) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).
(5) Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (C(2003) 1422) (SL L 124, 20.5.2003., str. 36.).
(6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).
(7) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (vidjeti stranicu 89. ovoga Službenog lista).
(8) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).
(9) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).
(10) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).
(11) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.).
(12) Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).
(13) Uredba (EU) br. 1215/2012 Europskog parlamenta i Vijeća od 12. prosinca 2012. o nadležnosti, priznavanju i izvršenju sudskih odluka u građanskim i trgovačkim stvarima (SL L 351, 20.12.2012., str. 1.).
(14) Direktiva 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL L 345, 31.12.2003., str. 90.).
(15) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.).
(16) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).
(17) SL C 192, 30.6.2012., str. 7.
(18) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).
(19) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).
(20) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).
(21) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).
whereas
dal 2004 diritto e informatica