interactive GDPR 2016/0679 HR

prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)	primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)	točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

(f)	obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

2. Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati („pouzdanost”).

Članak 6.

Zakonitost obrade

1. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)	ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)	obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)	obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)	obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

(e)	obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)	obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.

2. Države članice mogu zadržati ili uvesti posebne odredbe kako bi se primjena pravila ove Uredbe s obzirom na obradu prilagodila radi usklađivanja sa stavkom 1. točkama (c) i (e) tako da se preciznije odrede posebni uvjeti za obradu te druge mjere za osiguravanje zakonite i poštene obrade, među ostalim za druge posebne situacije obrade kako je predviđeno u poglavlju IX.

3. Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:

(a)	pravu Unije; ili

(b)	pravu države članice kojem voditelj obrade podliježe.

Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.

4. Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:

(a)	svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;

(b)	kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)	prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;

(d)	moguće posljedice namjeravanog nastavka obrade za ispitanike;

(e)	postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.

Članak 9.

Obrada posebnih kategorija osobnih podataka

1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:

(a)	ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)

obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)	obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;

(d)

obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;

(e)	obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)	obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

(g)	obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)

obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)

obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;

(j)

obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

3. Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

4. Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.

Članak 10.

Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela

Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ. Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.

Članak 11.

Obrada koja ne zahtijeva identifikaciju

1. Ako se u svrhe u koje voditelj obrade obrađuje osobne podatke ne zahtijeva ili više ne zahtijeva da voditelj obrade identificira ispitanika, voditelj obrade nije obvezan zadržavati, stjecati ili obrađivati dodatne informacije radi identificiranja ispitanika samo u svrhu poštovanja ove Uredbe.

2. Ako u slučajevima iz stavka 1.ovog članka voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, voditelj obrade o tome na odgovarajući način obavješćuje ispitanika, ako je to moguće. U takvim slučajevima ne primjenjuju se članci od 15. do 20., osim ako ispitanik u svrhu ostvarivanja svojih prava iz tih članaka pruži dodatne informacije koje omogućuju njegovu identifikaciju.

POGLAVLJE III.

Prava ispitanika

Odjeljak 1.

Transparentnost i modaliteti

Članak 12.

Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika

1. Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.

2. Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 15. do 22. U slučajevima iz članka 11. stavka 1. voditelj obrade ne smije odbiti postupiti po zahtjevu ispitanika u svrhu ostvarivanja njegovih prava iz članaka od 15. do 22., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet ispitanika.

3. Voditelj obrade ispitaniku na zahtjev pruža informacije o poduzetim radnjama iz članaka od 15. do 22. bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.

4. Ako voditelj obrade ne postupi po zahtjevu ispitanika, voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka.

5. Informacije pružene u skladu s člancima 13. i 14. i sva komunikacija i djelovanja iz članaka od 15. do 22. i članka 34. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:

(a)	naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu; ili

(b)	odbiti postupiti po zahtjevu.

Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva jest na voditelju obrade.

6. Ne dovodeći u pitanje članak 11., ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članaka od 15. do 21., voditelj obrade može tražiti pružanje dodatnih informacija neophodnih za potvrđivanje identiteta ispitanika.

7. Informacije koje treba pružiti ispitanicima u skladu s člancima 13. i 14. mogu se pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled namjeravane obrade. Ako su ikone prikazane elektroničkim putem, one moraju biti strojno čitljive.

8. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 92. u svrhu određivanja informacija koje se prikazuju ikonama te postupaka za utvrđivanje standardiziranih ikona.

Odjeljak 2.

Informacije i pristup osobnim podacima

Članak 13.

Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:

(a)	identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;

(b)	kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)	svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

(d)	ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(e)	primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f)

ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:

(a)	razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)	postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

(c)	ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)	pravo na podnošenje prigovora nadzornom tijelu;

(e)	informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)	postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

4. Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Članak 14.

Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

1. Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:

(a)	identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo;

(b)	kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)	svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;

(d)	kategorije osobnih podataka o kojima je riječ;

(e)	primatelje ili kategorije primatelja osobnih podataka, prema potrebi;

(f)

ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje;

2. Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:

(a)	razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)	ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(c)	postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

(d)	ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(e)	pravo na podnošenje prigovora nadzornom tijelu;

(f)	izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;

(g)	postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3. Voditelj obrade pruža informacije iz stavaka 1. i 2.:

(a)	unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)	ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)	ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.

4. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

5. Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:

(a)	ispitanik već posjeduje informacije;

(b)

pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti;

(c)	dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili

(d)	ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu.

Članak 15.

Pravo ispitanika na pristup

1. Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:

(a)	svrsi obrade;

(b)	kategorijama osobnih podataka o kojima je riječ;

(c)	primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)	ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)	postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu

(f)	pravu na podnošenje pritužbe nadzornom tijelu;

(g)	ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

(h)	postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

2. Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 46. koje se odnose na prijenos.

3. Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži ispitanik voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku.

4. Pravo na dobivanje kopije iz stavka 3. ne smije negativno utjecati na prava i slobode drugih.

Odjeljak 3.

Ispravak i brisanje

Članak 22.

Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

1. Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu.

2. Stavak 1. ne primjenjuje se ako je odluka:

(a)	potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;

(b)	dopuštena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili

(c)	temeljena na izričitoj privoli ispitanika.

3. U slučajevima iz stavka 2. točaka (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

4. Odluke iz stavka 2. ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 9. stavka 1., osim ako se primjenjuje članak 9. stavak 2. točka (a) ili (g) te ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.

Odjeljak 5.

Ograničenja

Članak 23.

Ograničenja

1. Na temelju prava Unije ili prava države članice kojem podliježu voditelj obrade podataka ili izvršitelj obrade zakonskom mjerom može se ograničiti opseg obveza i prava iz članaka od 12. do 22. i članka 34. te članka 5. ako te odredbe odgovaraju pravima i obvezama predviđenima u člancima od 12. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu:

(a)	nacionalne sigurnosti;

(b)

obrane;

(c)	javne sigurnosti;

(d)	sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

(e)	drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, osobito važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost;

(f)	zaštite neovisnosti pravosuđa i sudskih postupaka;

(g)	sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke;

(h)	funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (e) i točke (g);

(i)	zaštite ispitanika ili prava i sloboda drugih;

(j)	ostvarivanja potraživanja u građanskim sporovima.

2. Osobito, svaka zakonodavna mjera iz stavka 1. sadrži posebne odredbe, prema potrebi, najmanje o:

(a)	svrhama obrade ili kategorijama obrade,

(b)	kategorijama osobnih podataka,

(c)	opsegu uvedenih ograničenja,

(d)	zaštitnim mjerama za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa;

(e)	specifikaciji voditelja obrade ili kategorija voditeljâ obrade,

(f)	razdoblju pohrane i zaštitnim mjerama koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade;

(g)	rizicima za prava i slobode ispitanika; i

(h)	pravu ispitanika da budu obaviješteni o ograničenju, osim ako može biti štetno za svrhu tog ograničenja.

POGLAVLJE IV.

Voditelj obrade i izvršitelj obrade

Odjeljak 1.

Opće obveze

Članak 24.

Obveze voditelja obrade

1. Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2. Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.

3. Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade.

Članak 25.

Tehnička i integrirana zaštita podataka

1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.

2. Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

3. Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.

Članak 28.

Izvršitelj obrade

1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.

3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)	osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)	poduzima sve potrebne mjere u skladu s člankom 32.;

(d)	poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)	uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)	pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)	po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)	voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.

6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.

7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.

8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.

10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 30.

Evidencija aktivnosti obrade

1. Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a)	ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b)	svrhe obrade;

(c)	opis kategorija ispitanika i kategorija osobnih podataka;

(d)	kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(e)	ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)	ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

2. Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

(a)	ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;

(b)	kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

(c)	ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)	ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

3. Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4. Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju.

5. Obveze iz stavaka 1. i 2. ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

Članak 32.

Sigurnost obrade

1. Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)	pseudonimizaciju i enkripciju osobnih podataka;

(b)	sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)	sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)	proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

2. Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3. Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.

4. Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.

Članak 34.

Obavješćivanje ispitanika o povredi osobnih podataka

1. U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka.

2. Obavješćivanjem ispitanika iz stavka 1. ovog članka opisuje se priroda povrede osobnih podataka uporabom jasnog i jednostavnog jezika te ono sadržava barem informacije i mjere iz članka 33. stavka 3. točaka (b), (c) i (d).

3. Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a)	voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)	voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;

(c)	time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

4. Ako voditelj obrade nije do tog trenutka obavijestio ispitanika o povredi osobnih podataka, nakon razmatranja razine vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik, nadzorno tijelo može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta navedenih u stavku 3.

Odjeljak 3.

Procjena učinka na zaštitu podataka i prethodno savjetovanje

Članak 36.

Prethodno savjetovanje

1. Voditelj obrade savjetuje se s nadzornim tijelom prije obrade ako se procjenom učinka na zaštitu podataka iz članka 35. pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika.

2. Ako nadzorno tijelo smatra da bi se namjeravanom obradom iz stavka 1. kršila ova Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade, te može iskoristiti bilo koju od svojih ovlasti iz članka 58. Taj se rok može prema potrebi produžiti za šest tjedana, uzimajući u obzir složenost namjeravane obrade. Nadzorno tijelo u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade, i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode. Ti se rokovi mogu suspendirati sve dok nadzorno tijelo ne dobije informacije koje je moglo zatražiti u svrhe savjetovanja.

3. Prilikom savjetovanja s nadzornim tijelom u skladu sa stavkom 1. voditelj obrade nadzornom tijelu dostavlja:

(a)	ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu, osobito za obrade unutar grupe poduzetnika;

(b)	svrhu i sredstva namjeravane obrade;

(c)	zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika u na temelju ove Uredbe;

(d)	ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka;

(e)	procjenu učinka na zaštitu podataka kako je predviđena u članku 35.; i

(f)	sve druge informacije koje nadzorno tijelo zatraži.

4. Države članice savjetuju se s nadzornim tijelom tijekom izrade prijedloga zakonodavne mjere koju donosi nacionalni parlament ili podzakonske mjere koja se temelji na takvoj zakonodavnoj mjeri, a koja se odnosi na obradu.

5. Neovisno ostavku 2., od voditelja obrade se pravom države članice može zahtijevati da se savjetuju s nadzornim tijelom i od njega dobiju prethodno odobrenje u pogledu obrade koju obavlja voditelj obrade za izvršenje zadaće koju voditelj obrade provodi u javnom interesu, uključujući i obradu u vezi sa socijalnom zaštitom i javnim zdravljem.

Odjeljak 4.

Službenik za zaštitu podataka

Članak 40.

Kodeksi ponašanja

1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:

(a)	poštene i transparentne obrade;

(b)	legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)	prikupljanja osobnih podataka;

(d)	pseudonimizacije osobnih podataka;

(e)	informiranja javnosti i ispitanika;

(f)	ostvarivanja prava ispitanika;

(g)	informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)	mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)	izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)	prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)	izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.

4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.

5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.

7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.

8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji.

9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.

11. Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 41.

Praćenje odobrenih kodeksa ponašanja

1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., praćenje sukladnosti s kodeksom ponašanja u skladu s člankom 40. može provoditi tijelo s odgovarajućim stupnjem stručnosti za predmet kodeksa i koje je u tu svrhu akreditiralo nadležno nadzorno tijelo.

2. Tijelo iz stavka 1. može biti akreditirano za praćenje sukladnosti s kodeksom ponašanja ako je to tijelo:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa;

(b)	uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja;

(c)	uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i

(d)	nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3. Nadležno nadzorno tijelo predaje nacrt kriterija za akreditaciju tijela iz stavka 1. ovog članka Odboru u skladu s mehanizmom konzistentnosti iz članka 63.

4. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela i odredbe poglavlja VIII., tijelo iz stavka 1. ovog članka, uz primjenu prikladnih zaštitnih mjera, poduzima odgovarajuće radnje u slučajevima u kojima voditelj obrade ili izvršitelj obrade krše kodeks, što uključuje suspendiranje ili isključivanje dotičnog voditelja obrade ili izvršitelja obrade iz kodeksa. Ono izvješćuje nadležno nadzorno tijelo o takvim radnjama i razlozima za njihovo poduzimanje.

5. Nadležno nadzorno tijelo povlači akreditaciju tijela iz stavka 1. ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili radnje koje provodi tijelo krše ovu Uredbu.

6. Ovaj članak ne primjenjuje se na obradu obavljaju tijela javne vlasti i javna tijela.

Članak 42.

Certificiranje

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.

3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.

4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 43.

Certifikacijska tijela

1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:

(a)	nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;

(b)	nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.

2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;

(b)	obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;

(c)	uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;

(d)	uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i

(e)	nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.

4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.

5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.

6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.

7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.

8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.

9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 45.

Prijenosi na temelju odluke o primjerenosti

1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)	međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.

5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.

6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.

7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.

8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.

9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.

Članak 46.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1. Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

2. odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

(a)	pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)	obvezujuća korporativna pravila u skladu s člankom 47.;

(c)	standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d)	standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(e)	odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili

(f)	odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.

3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

(a)	ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)	odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

4. Nadzorno tijelo u slučajevima iz stavka 3. ovog članka primjenjuje mehanizam konzistentnosti iz članka 63.

5. Odobrenja države članice ili nadzornog tijela na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju valjana dok ih nadzorno tijelo prema potrebi ne izmijeni, zamijeni ili stavi izvan snage. Odluke koje je Komisija donijela na osnovi članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 2. ovog članka.

Članak 47.

Obvezujuća korporativna pravila

1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 49.

Odstupanja za posebne situacije

1. Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:

(a)	ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)	prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)	prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)	prijenos je nužan iz važnih razloga javnog interesa;

(e)	prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f)	prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;

(g)

prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.

2. Prijenos na temelju prvog podstavka stavka 1. točke (g) ne uključuje osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru. Kada registar služi na uvid osobama koje imaju opravdani interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.

3. Stavak 1. prvi podstavak točke (a), (b) i (c) i stavak 1. drugi podstavak ne primjenjuju se na aktivnosti koje provode tijela javne vlasti izvršavajući svoje javne ovlasti.

4. Javni interes iz prvog podstavka stavka 1. točke (d) mora biti priznat u pravu Unije ili u pravu države članice kojem podliježe voditelj obrade.

5. Ako nije donesena odluka o primjerenosti, pravo Unije ili pravo države članice mogu, iz važnih razloga javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice dužne su obavijestiti Komisiju o takvim odredbama.

6. Voditelj obrade ili izvršitelj obrade dokumentiraju procjenu kao i odgovarajuće mjere zaštite iz stavka 1. drugog podstavka ovog članka u evidencijama iz članka 30.

Članak 50.

Međunarodna suradnja s ciljem zaštite osobnih podataka

Komisija i nadzorna tijela poduzimaju odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem:

(a)	razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama;

(c)	uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

(d)	promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

POGLAVLJE VI.

Neovisna nadzorna tijela

Odjeljak 1.

Neovisni status

Članak 57.

Zadaće

1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:

(a)	prati i provodi primjenu ove Uredbe;

(b)	promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;

(c)	savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d)	promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(e)	na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f)

rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g)	surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;

(h)	provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(i)	prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;

(j)	donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(k)	utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;

(l)	daje savjete o postupcima obrade iz članka 36. stavka 2.;

(m)	potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;

(n)	potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(o)	prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;

(p)	sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(q)	provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(r)	odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;

(s)	odobrava obvezujuća korporativna pravila u skladu s člankom 43.;

(t)	doprinosi aktivnostima Odbora;

(u)	vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i

(v)	ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.

2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka.

4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu.

Članak 58.

Ovlasti

1. Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:

(a)	narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;

(b)	provoditi istrage u obliku revizije zaštite podataka;

(c)	provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;

(d)	obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(e)	ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;

(f)	ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.

2. Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:

(a)	izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;

(b)	izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)	narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(d)	narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;

(e)	narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(f)	privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;

(g)	narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;

(h)	povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;

(i)	izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;

(j)	narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.

3. Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti:

(a)	savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,

(b)	na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;

(c)	odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;

(d)	izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;

(e)	akreditirati certifikacijska tijela u skladu s člankom 43.;

(f)	izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(g)	donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(h)	odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);

(i)	odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);

(j)	odobriti obvezujuća korporativna pravila u skladu s člankom 47.

4. Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom.

5. Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.

6. Svaka država članica zakonom može predvidjeti da nadzorno tijelo uz ovlasti iz stavaka 1., 2. i 3. ima dodatne ovlasti. Izvršavanje tih ovlasti ne smije narušavati učinkovito djelovanje odredaba poglavlja VII.

Članak 68.

Europski odbor za zaštitu podataka

1. Europski odbor za zaštitu podataka („Odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost.

2. Odbor predstavlja njegov predsjednik.

3. Odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici.

4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice.

5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima Odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik Odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka.

6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe.

Članak 83.

Opći uvjeti za izricanje upravnih novčanih kazni

1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)	prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)	ima li kršenje obilježje namjere ili nepažnje;

(c)	svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;

(d)	stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

(e)	svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;

(f)	stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;

(g)	kategorijama osobnih podataka na koje kršenje utječe;

(h)	načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;

(i)	ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;

(j)	poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i

(k)	svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;

(b)	obveza certifikacijskog tijela u skladu s člancima 42. i 43.;

(c)	obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;

5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;

(b)	prava ispitanika u skladu s člancima od 12. do 22.;

(c)	prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;

(d)	svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;

(e)	nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.

8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje.

9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.

Članak 87.

Obrada nacionalnog identifikacijskog broja

Države članice mogu dodatno utvrditi posebne uvjete za obradu nacionalnog identifikacijskog broja ili bilo kojeg drugog identifikatora opće primjene. U tom se slučaju nacionalni identifikacijski broj ili bilo koji drugi identifikator opće primjene upotrebljava samo uz primjenu odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika u skladu s ovom Uredbom.

Članak 89.

Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe

1. Na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovom Uredbom u pogledu prava i sloboda ispitanika. Tim zaštitnim mjerama osigurava se da su na snazi tehničke i organizacijske mjere, posebno kako bi se zajamčilo načelo smanjenja količine podataka. Te mjere mogu uključivati pseudonimizaciju, pod uvjetom da se te svrhe mogu postići na taj način. Ako se te svrhe mogu postići daljnjom obradom koja ne dopušta ili više ne dopušta identifikaciju ispitanika, te se svrhe postižu na taj način.

2. Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, pravom Unije ili pravom države članice mogu se predvidjeti odstupanja od prava navedenih u člancima 15., 16., 18. i 21., uz primjenu uvjeta i mjera zaštite iz stavka 1. ovog članka, u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha.

3. Ako se osobni podaci obrađuju u svrhe arhiviranja u javnom interesu, pravom Unije ili pravom države članice mogu se predvidjeti odstupanja od prava navedenih u člancima 15., 16., 18., 19., 20. i 21., uz primjenu uvjeta i mjera zaštite iz stavka 1. ovog članka, u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha.

4. Ako obrada navedena u stavcima 2. i 3. istovremeno služi i drugoj svrsi, odstupanja se primjenjuju samo za obradu u svrhe koje su navedene u tim stavcima.

Članak 97.

Izvješća Komisije

1. Do 25. svibnja 2020. i svake četiri godine nakon toga Komisija podnosi izvješće Europskom parlamentu i Vijeću o ocjeni i preispitivanju ove Uredbe. Izvješća se javno objavljuju.

2. U okviru ocjena i preispitivanjâ iz stavka 1. Komisija osobito ispituje primjenu i funkcioniranje:

(a)	poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, a osobito u pogledu odluka donesenih na temelju članka 45. stavka 3. ove Uredbe i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ;

(b)	poglavlja VII. o suradnji i konzistentnosti.

3. Za potrebe stavka 1. Komisija može zatražiti informacije od država članica i nadzornih tijela.

4. Pri obavljanju ocjena i preispitivanjâ iz stavka 1. i 2. Komisija uzima u obzir stajališta i nalaze Europskog parlamenta, Vijeća te drugih relevantnih tijela ili izvora.

5. Komisija prema potrebi podnosi odgovarajuće prijedloge s ciljem izmjene ove Uredbe, posebno uzimajući u obzir razvoj informacijske tehnologije te s obzirom na napredak informacijskog društva.

whereas

(39) Svaka obrada osobnih podataka trebala bi biti zakonita i poštena.
Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati.
Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik.
To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih.
Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom.
Osobito,određena svrha u koju se osobni podaci obrađuju trebala bi biti izrijekom navedena i opravdana te određena u vrijeme prikupljanja osobnih podataka.
Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju.
Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum.
Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima.
Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje.
Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu.
Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.

- = -

(47) Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade.
Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi.
U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu.
Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu.
Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu osobnih podataka koju provode tijela javne vlasti, ta pravna osnova ne bi se smjela primjenjivati na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Obrada osobnih podataka koja je nužna u svrhe sprečavanja prijevara također predstavlja legitiman interes dotičnog voditelja obrade podataka.
Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.

- = -

(52) Odstupanje od zabrane obrade posebnih kategorija osobnih podataka također bi se trebalo dopustiti kad god je to predviđeno pravom Unije ili pravom države članice i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje.
Takvo se odstupanje može učiniti u zdravstvene svrhe, među ostalim za javno zdravlje i upravljanje uslugama zdravstvene skrbi, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje potraživanja za naknadama i uslugama u sustavu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe.
Odstupanjem bi se također trebala omogućiti obrada takvih osobnih podataka ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva, neovisno je li to u sudskom ili upravnom postupku ili bilo kojem izvansudskom postupku.

- = -

(56) Ako tijekom izbornih aktivnosti djelovanje demokratskog sustava u državi članici zahtijeva da političke stranke prikupljaju osobne podatke o političkim mišljenjima ljudi, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da se uspostave odgovarajuće zaštitne mjere.

- = -

(71) Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije.
Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu.
Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije ili pravom države članice kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje, što se provodi u skladu s propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih tijela te osiguravanja sigurnosti i pouzdanosti usluge koju pruža voditelj obrade ili ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade ili kada je ispitanik izričito dao svoju privolu.
U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke.
Takve se mjere ne bi smjele odnositi na djecu.

- = -

(74) Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade.
Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera.
Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

- = -

(77) Upute za provedbu odgovarajućih mjera i za dokazivanje poštovanja odredaba od strane voditelja obrade ili izvršitelja obrade, posebno u pogledu utvrđivanja rizika povezanog s obradom, njihove procjene s obzirom na podrijetlo, prirodu, vjerojatnost i težinu te utvrđivanje najboljih praksi za umanjivanje rizika, osobito bi se mogle pružiti putem odobrenih kodeksa ponašanja, odobrenih certifikata, smjernica koje pruža Odbor ili naznakama koje pruža službenik za zaštitu podataka.
Odbor može također izdati smjernice o postupcima obrade za koje se smatra da nije vjerojatno da će dovesti do visokog rizika za prava i slobode pojedinaca i navesti koje mjere mogu u takvim slučajevima biti dovoljne za suočavanje s navedenim rizikom.

- = -

(78) Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe.
Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.
Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke.
Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka.
Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

- = -

(83) Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija.
Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

- = -

(84) Radi poboljšanja sukladnosti s ovom Uredbom kada postupci obrade vjerojatno mogu dovesti do visokog stupnja rizika za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se osobito procijenili izvor, priroda, osobitost i ozbiljnost tog rizika.
Ishod procjene trebao bi se uzeti u obzir pri utvrđivanju odgovarajućih mjera radi dokazivanja da je obrada osobnih podataka sukladna s ovom Uredbom.
Ako se u procjeni učinka na zaštitu podataka pokaže da postupci obrade uključuju visok rizik koji voditelj obrade ne može umanjiti odgovarajućim mjerama u smislu dostupne tehnologije i troškova provedbe, prije obrade trebalo bi se savjetovati s nadzornim tijelom.

- = -

(85) Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca.
Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca.
Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

- = -

(86) Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza.
U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke.
Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva.
Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest.

- = -

(87) Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika.
Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika.
Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.

- = -

(88) Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe.
Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.

- = -

(99) Prilikom izrade kodeksa ponašanja ili kada se mijenja ili proširuje takav kodeks, udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebali bi se savjetovati s odgovarajućim dionicima, uključujući ispitanike ako je to izvedivo i uzimati u obzir primljene podneske i izražena mišljenja kao odgovore na takva savjetovanja.

- = -

(102) Ovom Uredbom ne dovode se u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući odgovarajuće zaštitne mjere za ispitanike.
Države članice mogu sklapati međunarodne sporazume koji uključuju prijenos osobnih podataka u treće zemlje ili međunarodne organizacije u onoj mjeri u kojoj takvi sporazumi ne utječu na ovu Uredbu ili bilo koje druge odredbe prava Unije i koji uključuju odgovarajuću razinu zaštite temeljnih prava ispitanikâ.

- = -

(103) Komisija može odlučiti s učinkom na cijelu Uniju da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka te na taj način pruža pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećoj zemlji ili međunarodnoj organizaciji za koju se smatra da pruža takvu razinu zaštite.
U takvim slučajevima prijenosi osobnih podataka u te treću zemlju ili međunarodnu organizaciju mogu se obavljati bez potrebe za dobivanjem daljnjeg ovlaštenja.
Komisija također može odlučiti da povuče takvu odluku, nakon što trećoj zemlji ili međunarodnoj organizaciji uputi obavijest i izjavu u kojoj se navode razlozi.

- = -

(107) Komisija može utvrditi da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka.
Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Uredbe koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama, uključujući obvezujuća korporativna pravila, te odstupanja za posebne situacije.
U tom slučaju trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija.
Komisija bi trebala pravodobno obavijestiti treću državu ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

- = -

(108) Ako nije donesena odluka o primjerenosti voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika.
Takve odgovarajuće zaštitne mjere mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo.
Tim zaštitnim mjerama trebalo bi osigurati sukladnost sa zahtjevima za zaštitu podataka i prava ispitanikâ primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji.
One bi se trebale osobito odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka, načela tehničke i integrirane zaštite podataka.
Tijela javne vlasti ili tijela s javnim ovlastima ili tijela u trećim zemljama ili pri međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima mogu također obavljati prijenose, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane poput memoranduma o razumijevanju, kojima se ispitaniku osiguravaju ostvariva i učinkovita prava.
Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi ovlaštenje nadležnog nadzornog tijela.

- = -

(110) Grupa poduzetnika ili grupa poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika ili grupe poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti, ako korporativna pravila obuhvaćaju sva osnovna načela i provediva prava za osiguranje odgovarajućih zaštitnih mjera za prijenose ili kategorije prijenosa osobnih podataka.

- = -

(113) Prijenosi koji se ne mogu smatrati ponavljajućim i koji se odnose samo na ograničen broj ispitanika mogli bi također biti mogući u svrhe uvjerljivih, legitimnih interesa voditelja obrade, kada ti interesi nisu podređeni interesima ili pravima i slobodama ispitanika i kada je voditelj obrade procijenio sve okolnosti prijenosa podataka.
Voditelj obrade posebnu bi pozornost trebao obratiti na prirodu osobnih podataka, namjenu i trajanje predložene obrade ili predloženih obrada, kao i na situaciju u zemlji porijekla, trećoj zemlji i zemlji konačnog odredišta te bi trebao predvidjeti odgovarajuće zaštitne mjere temeljnih prava i sloboda pojedinaca u vezi s obradom njihovih osobnih podataka.
Takvi prijenosi trebali bi biti mogući samo u preostalim slučajevima kada nikakvi drugi razlozi za prijenos nisu primjenjivi.
Za potrebe obrade u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi uzeti u obzir legitimna očekivanja društva za povećanjem znanja.
Voditelj obrade o prijenosu bi trebao obavijestiti nadzorno tijelo i ispitanika.

- = -

(114) U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere.

- = -

(148) Kako bi se poboljšalo izvršavanje pravila ove Uredbe, trebale bi se propisati sankcije, uključujući upravne novčane kazne, za svako kršenje ove Uredbe, uz odgovarajuće mjere koje propisuje nadzorno tijelo u skladu s ovom Uredbom ili umjesto njih.
U slučaju lakšeg kršenja ili ako bi moguća novčana kazna nerazmjerno opteretila fizičku osobu, umjesto novčane kazne može se izdati upozorenje.
Međutim, posebna bi se pozornost trebala posvetiti naravi, ozbiljnosti i trajanju kršenja, namjeri kršenja, mjerama poduzetim za ublažavanje pretrpljene štete, stupnju odgovornosti ili svim relevantnim prethodnim kršenjima, načinu na koji je nadzorno tijelo doznalo za kršenje, usklađenosti s mjerama naloženima protiv voditelja obrade ili izvršitelja obrade, pridržavanju kodeksa ponašanja te svakom drugom otegotnom ili olakotnom čimbeniku.
Propisivanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom, uključujući i učinkovitu sudsku zaštitu i pravilno postupanje.

- = -

(150) Kako bi se ojačale i uskladile upravne sankcije za kršenje ove Uredbe, svako nadzorno tijelo trebalo bi imati ovlasti izricati upravne novčane kazne.
U ovoj Uredbi trebalo bi navesti kršenja te gornju granicu i kriterije za određivanje povezanih upravnih novčanih kazni, što bi za svaki pojedinačni slučaj trebalo odrediti nadležno nadzorno tijelo, uzimajući u obzir sve bitne okolnosti posebne situacije, vodeći računa osobito o prirodi, težini i trajanju kršenja i njegovim posljedicama te mjerama poduzetim da bi se osiguralo poštovanje obveza iz ove Uredbe te spriječile ili ublažile posljedice kršenja.
Kada se upravne kazne izriču poduzetniku, poduzetnik bi se u te svrhe trebao shvatiti poduzetnik u skladu s člancima 101.
i 102.
UFEU-a.
Ako su upravne kazne izrečene osobama koje nisu poduzetnik, prilikom razmatranja odgovarajućeg iznosa novčane kazne nadzorno tijelo trebalo bi uzeti u obzir opću razinu dohotka u državi članici te ekonomsko stanje osobe.
Također se može primijeniti mehanizam konzistentnosti radi promicanja konzistentne primjene upravnih novčanih kazni.
Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za državna tijela.
Izricanje upravne novčane kazne ili upozorenja ne utječe na primjenu ovlasti nadzornih tijela ili drugih sankcija na temelju ove Uredbe.

- = -

(156) Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom.
Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka.
Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (poput, primjerice, pseudonimizacije osobnih podataka).
Države članice trebale bi osigurati odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Države članice trebale bi biti ovlaštene predvidjeti, pod posebnim uvjetima i uz primjenu odgovarajućih zaštitnih mjera za ispitanike, specifikacije i odstupanja u pogledu zahtjevâ za informiranjem, pravâ na ispravak, na brisanje, na zaborav, na ograničavanja obrade, na prenosivost podataka te na podnošenje prigovora pri obradi osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.
Dotični uvjeti i zaštitne mjere mogu podrazumijevati posebne postupke za ispitanike kako bi oni mogli ostvarivati ta prava ako je to primjereno s obzirom na svrhu posebne obrade, uz tehničke i organizacijske mjere usmjerene na smanjenje obrade osobnih podataka na najmanju mjeru kako bi se poštovala načela proporcionalnosti i nužnosti.
Obrada osobnih podataka u znanstvene svrhe također bi trebala biti u skladu s drugim relevantnim zakonodavstvom, poput zakonodavstva o kliničkim ispitivanjima.

- = -

(157) Povezivanjem informacija iz registara istraživači mogu steći novo znanje od velike vrijednosti u pogledu raširenih medicinskih stanja kao što su kardiovaskularne bolesti, rak i depresija.
Na temelju registara rezultati istraživanja mogu se unaprijediti jer se temelje na većem broju stanovnika.
U okviru društvenih znanosti, istraživanje na temelju registara omogućuje istraživačima da steknu ključno znanje o dugoročnoj povezanosti brojnih društvenih čimbenika, kao što su nezaposlenost i obrazovanje s drugim životnim čimbenicima.
Rezultati istraživanja dobiveni putem registara dovode do pouzdanih, visokokvalitetnih spoznaja koje mogu biti temelj za oblikovanje i provedbu politike koja se temelji na znanju; njima se poboljšava kvaliteta života velikog broja ljudi te učinkovitost društvenih usluga.
Kako bi se olakšalo znanstveno istraživanje, osobni se podaci mogu obrađivati u svrhe znanstvenog istraživanja, što podliježe odgovarajućim uvjetima i zaštitnim mjerama određenima u pravu Unije ili pravu države članice.

- = -

(164) U vezi s ovlastima nadzornih tijela za dobivanje pristupa osobnim podacima i prostorijama od voditelja obrade ili izvršitelja obrade, države članice mogu zakonskim putem, u okviru ograničenja ove Uredbe, donijeti posebna pravila radi očuvanja profesionalnih ili drugih odgovarajućih obveza čuvanja tajnosti podataka, u mjeri u kojoj je nužno uskladiti pravo na zaštitu osobnih podataka s obvezom čuvanja profesionalne tajne.
Time se ne dovode u pitanje postojeće obveze država članica da primijene pravila o čuvanju profesionalne tajne kada pravo Unije tako nalaže.

- = -

(166) Kako bi se ostvarili ciljevi ove Uredbe, odnosno zaštitila temeljna prava i slobode pojedinaca, a osobito njihova prava na zaštitu osobnih podataka i osiguravanje slobodnog kretanja osobnih podataka unutar Unije, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290.
UFEU-a.
Konkretnije, delegirane akte trebalo bi donositi poštujući kriterije i zahtjeve za mehanizme certificiranja, informacije koje se iznose putem standardiziranih ikona i postupke za utvrđivanje takvih ikona.
Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka.
Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

- = -

(173) Ova bi se Uredba trebala primjenjivati na sva pitanja u vezi sa zaštitom temeljnih prava i sloboda u odnosu na obradu osobnih podataka koja ne podliježu posebnim obvezama s istim ciljem koji je utvrđen Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (18), uključujući obveze voditelja obrade i prava pojedinaca.
Kako bi se pojasnio odnos između ove Uredbe i Direktive 2002/58/EZ, tu bi Direktivu trebalo izmijeniti na odgovarajući način.
Nakon donošenja ove Uredbe, Direktivu 2002/58/EZ trebalo bi preispitati posebno kako bi se osigurala usklađenost s ovom Uredbom,

- = -

dal 2004 diritto e informatica