interactive GDPR 2016/0679 HR

whereas postupkom:

definitions:

Članak 28.

Izvršitelj obrade

1.   Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2.   Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.

3.   Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)	osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)	poduzima sve potrebne mjere u skladu s člankom 32.;

(d)	poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)	uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)	pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)	po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)	voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4.   Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5.   Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.

6.   Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.

7.   Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.

8.   Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

9.   Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.

10.   Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 40.

Kodeksi ponašanja

1.   Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

2.   Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:

(a)	poštene i transparentne obrade;

(b)	legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)	prikupljanja osobnih podataka;

(d)	pseudonimizacije osobnih podataka;

(e)	informiranja javnosti i ispitanika;

(f)	ostvarivanja prava ispitanika;

(g)	informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)	mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)	izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)	prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)	izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

3.   Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.

4.   Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.

5.   Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

6.   Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.

7.   Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.

8.   Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji.

9.   Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

10.   Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.

11.   Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 43.

Certifikacijska tijela

1.   Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:

(a)	nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;

(b)	nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.

2.   Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;

(b)	obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;

(c)	uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;

(d)	uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i

(e)	nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3.   Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.

4.   Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.

5.   Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.

6.   Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.

7.   Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.

8.   Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.

9.   Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 45.

Prijenosi na temelju odluke o primjerenosti

1.   Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2.   Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)	međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3.   Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

4.   Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.

5.   Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.

6.   Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.

7.   Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.

8.   U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.

9.   Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.

Članak 46.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1.   Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

2.   Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

(a)	pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)	obvezujuća korporativna pravila u skladu s člankom 47.;

(c)	standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d)	standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(e)	odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili

(f)	odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.

3.   Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

(a)	ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)	odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

4.   Nadzorno tijelo u slučajevima iz stavka 3. ovog članka primjenjuje mehanizam konzistentnosti iz članka 63.

5.   Odobrenja države članice ili nadzornog tijela na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju valjana dok ih nadzorno tijelo prema potrebi ne izmijeni, zamijeni ili stavi izvan snage. Odluke koje je Komisija donijela na osnovi članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 2. ovog članka.

Članak 47.

Obvezujuća korporativna pravila

1.   Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2.   Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3.   Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 56.

Nadležnost vodećeg nadzornog tijela

1.   Ne dovodeći u pitanje članak 55. nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno je djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60.

2.   Odstupajući od stavka 1. svako nadzorno tijelo nadležno je za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe, ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici.

3.   U slučajevima iz stavka 2. ovog članka nadzorno tijelo bez odgode obavješćuje vodeće nadzorno tijelo o tom pitanju. U roku od tri tjedna nakon primitka obavijesti vodeće nadzorno tijelo odlučuje hoće li rješavati predmet u skladu s postupkom predviđenim u članku 60., uzimajući u obzir to ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici čije mu je nadzorno tijelo uputilo obavijest.

4.   Ako vodeće nadzorno tijelo odluči riješiti predmet, primjenjuje se postupak iz članka 60. Nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu može vodećem nadzornom tijelu podnijeti nacrt za oduku. Vodeće nadzorno tijelo uzima u obzir što je više moguće taj nacrt prilikom izrade nacrta odluke iz članka 60. stavka 3.

5.   Ako vodeće nadzorno tijelo odluči da neće rješavati predmet, rješava ga nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu, u skladu s člancima 61. i 62.

6.   Vodeće nadzorno tijelo jedini je sugovornik voditelja obrade ili izvršitelja obrade u prekograničnoj obradi koju provodi taj voditelj obrade ili izvršitelj obrade.

Članak 58.

Ovlasti

1.   Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:

(a)	narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;

(b)	provoditi istrage u obliku revizije zaštite podataka;

(c)	provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;

(d)	obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(e)	ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;

(f)	ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.

2.   Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:

(a)	izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;

(b)	izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)	narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(d)	narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;

(e)	narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(f)	privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;

(g)	narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;

(h)	povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;

(i)	izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;

(j)	narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.

3.   Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti:

(a)	savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,

(b)	na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;

(c)	odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;

(d)	izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;

(e)	akreditirati certifikacijska tijela u skladu s člankom 43.;

(f)	izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(g)	donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(h)	odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);

(i)	odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);

(j)	odobriti obvezujuća korporativna pravila u skladu s člankom 47.

4.   Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom.

5.   Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.

6.   Svaka država članica zakonom može predvidjeti da nadzorno tijelo uz ovlasti iz stavaka 1., 2. i 3. ima dodatne ovlasti. Izvršavanje tih ovlasti ne smije narušavati učinkovito djelovanje odredaba poglavlja VII.

Članak 61.

Uzajamna pomoć

1.   Nadzorna tijela međusobno si pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Uredbu i uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora, kao što su zahtjevi za provedbom prethodnog odobravanja i savjetovanja, inspekcija i istraga.

2.   Svako nadzorno tijelo poduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana nakon što je zaprimilo zahtjev. Takve mjere mogu posebno obuhvaćati prijenos bitnih informacija o vođenju istrage.

3.   Zahtjevi za pomoć moraju sadržavati sve potrebne informacije, uključujući svrhu i razloge za zahtjev. Razmijenjene informacije smiju se upotrebljavati samo u zatraženu svrhu.

4.   Nadzorno tijelo kojem je upućen zahtjev ne smije odbiti udovoljiti zahtjevu osim u slučaju da:

(a)	nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili

(b)	poštovanje zahtjeva kršilo bi ovu Uredbu, pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo kojem je zahtjev upućen.

5.   Nadzorno tijelo kojem je upućen zahtjev izvješćuje nadzorno tijelo koje je podnijelo zahtjev o rezultatima ili, ovisno o slučaju, o napretku ili mjerama poduzetim da se zahtjev ispuni. Nadzorno tijelo kojem je upućen zahtjev obrazlaže razloge za svako odbijanje zahtjeva na temelju stavka 4.

6.   Nadzorna tijela kojima je upućen zahtjev u pravilu pružaju informacije koje druga nadzorna tijela zatraže elektroničkim putem, koristeći se standardiziranim formatom.

7.   Za bilo koju radnju poduzetu na zahtjev za uzajamnom pomoći nadzorno tijelo kojem je upućen zahtjev ne naplaćuje nikakvu pristojbu. Nadzorna tijela mogu dogovoriti pravila za uzajamne naknade posebnih izdataka koji proizlaze iz pružanja uzajamne pomoći u izvanrednim okolnostima.

8.   Ako nadzorno tijelo ne pruži informacije iz stavka 5. ovog članka u roku od mjesec dana nakon zaprimanja zahtjeva drugog nadzornog tijela, nadzorno tijelo koje je podnijelo zahtjev može donijeti privremenu mjeru na državnom području svoje države članice u skladu s člankom 55. stavkom 1. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitna obvezujuća odluka Odbora u skladu s člankom 66. stavkom 2.

9.   Komisija može, putem provedbenih akta, odrediti format i postupke za uzajamnu pomoć iz ovog članka i sustave razmjene informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora, a posebno standardizirani format iz stavka 6. ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2.

Članak 67.

Razmjena informacija

Komisija može donijeti provedbene akte općeg područja primjene radi određivanja aranžmana za razmjenu informacija između nadzornih tijela elektroničkim putem i između nadzornih tijela i Odbora, osobito standardiziranog formata iz članka 64.

Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2.

Odjeljak 3

Europski odbor za zaštitu podataka