interactive GDPR 2016/0679 HR

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 HR jump to: cercato: 'pravnim' . Output generated live by software developed by IusOnDemand srl

index pravnim:

3 Članak 28. Izvršitelj obrade

1 Članak 47. Obvezujuća korporativna pravila

1 Članak 83. Opći uvjeti za izricanje upravnih novčanih kazni

1 Članak 95. Odnos s Direktivom 2002/58/EZ

whereas pravnim:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 855

Članak 28.

Izvršitelj obrade

1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.

3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)	osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)	poduzima sve potrebne mjere u skladu s člankom 32.;

(d)	poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)	uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)	pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)	po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)	voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.

6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.

7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.

8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.

10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 47.

Obvezujuća korporativna pravila

1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 83.

Opći uvjeti za izricanje upravnih novčanih kazni

1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)	prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)	ima li kršenje obilježje namjere ili nepažnje;

(c)	svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;

(d)	stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

(e)	svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;

(f)	stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;

(g)	kategorijama osobnih podataka na koje kršenje utječe;

(h)	načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;

(i)	ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;

(j)	poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i

(k)	svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;

(b)	obveza certifikacijskog tijela u skladu s člancima 42. i 43.;

(c)	obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;

5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;

(b)	prava ispitanika u skladu s člancima od 12. do 22.;

(c)	prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;

(d)	svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;

(e)	nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.

8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje.

9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.

Članak 95.

Odnos s Direktivom 2002/58/EZ

Ovom Uredbom ne propisuju se dodatne obveze fizičkim ili pravnim osobama u pogledu obrade u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga u javnim komunikacijskim mrežama u Uniji povezanih s pitanjima u pogledu kojih vrijede posebne obveze s istim ciljem iz Direktive 2002/58/EZ.

Članak 99.

Stupanje na snagu i primjena

1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2. Primjenjuje se od 25. svibnja 2018.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 27. travnja 2016.

Za Europski parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednica

J.A. HENNIS-PLASSCHAERT

(1) SL C 229, 31.7.2012., str. 90.

(2) SL C 391, 18.12.2012., str. 127.

(3) Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016.

(4) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(5) Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (C(2003) 1422) (SL L 124, 20.5.2003., str. 36.).

(6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(7) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (vidjeti stranicu 89. ovoga Službenog lista).

(8) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(9) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(10) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(11) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.).

(12) Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(13) Uredba (EU) br. 1215/2012 Europskog parlamenta i Vijeća od 12. prosinca 2012. o nadležnosti, priznavanju i izvršenju sudskih odluka u građanskim i trgovačkim stvarima (SL L 351, 20.12.2012., str. 1.).

(14) Direktiva 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL L 345, 31.12.2003., str. 90.).

(15) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.).

(16) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(17) SL C 192, 30.6.2012., str. 7.

(18) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(19) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(20) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(21) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).

whereas

(19) Zaštita pojedinaca s obzirom na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i slobodnom kretanju takvih podataka i njihovo sprečavanje, podliježe posebnom pravnom aktu Unije.
Stoga se ova Uredba ne bi trebala primjenjivati na aktivnosti obrade u te svrhe.
No, osobni podaci koje su obradila tijela javne vlasti u skladu s ovom Uredbom trebali bi, kada se upotrebljavaju u te svrhe, biti uređeni posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (7).
Države članice mogu povjeriti nadležnim tijelima u smislu Direktive (EU) 2016/680 zadaće koje se ne provode nužno u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge svrhe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene ove Uredbe.

- = -

(45) Ako se obrada odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, obrada bi se trebala temeljiti na pravu Unije ili pravu države članice.
Ovom se Uredbom ne zahtijeva potreba posebnog propisa za svaku pojedinačnu obradu.
Jedan propis kao osnova za više postupaka obrade, koji se temelje na pravnoj obvezi kojoj podliježe voditelj obrade ili ako je obrada potrebna za izvršenje zadaće koja se provodi zbog javnog interesa ili pri izvršavanju službene ovlasti, može biti dovoljan.
Pravom Unije ili pravom države članice također bi se trebala odrediti svrha obrade.
Osim toga, tim bi se propisom mogli utvrditi opći uvjeti ove Uredbe kojima se uređuje zakonitost obrade osobnih podataka, utvrditi specifikacije za utvrđivanje voditelja obrade, vrste osobnih podataka koji podliježu obradi, dotičnih ispitanika, subjekata kojima se osobni podaci mogu otkriti, ograničenja svrhe, razdoblja pohrane i drugih mjera za osiguravanje zakonite i poštene obrade.
Osim toga, pravom Unije ili pravom države članice trebalo bi odrediti bi li voditelj obrade koji obavlja zadaću u javnom interesu ili prilikom izvršavanja službene ovlasti trebao biti tijelo javne vlasti ili druga fizička ili pravna osoba koja posluje sukladno javnom pravu ili privatnom pravu, kao što je strukovno udruženje, u slučaju da je to opravdano javnim interesom, među ostalim u slučaju zdravstvenih svrha, kao što su javno zdravlje i socijalna zaštita te upravljanje službama za zdravstvenu skrb.

- = -

(81) Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade.
Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade.
Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika.
Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija.
Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

- = -

(129) Kako bi se osiguralo dosljedno praćenje i provedba ove Uredbe u cijeloj Uniji, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, te ne dovodeći u pitanje ovlasti tijelâ kaznenog progona u skladu s pravom države članice, za upozoravanje pravosudnih tijela na kršenja ove Uredbe i sudjelovanje u pravnim postupcima.
Takve bi ovlasti također trebale obuhvaćati ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu.
Države članice mogu navesti druge zadaće u vezi sa zaštitom osobnih podataka u skladu s ovom Uredbom.
Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku.
Konkretno, svaka bi mjera trebala biti primjerena, nužna i proporcionalna s ciljem osiguranja sukladnosti s ovom Uredbom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotične osobe.
Ovlasti za vođenje istrage u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima postupovnog prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja.
Svaka pravno obvezujuća mjera nadzornog tijela trebala bi biti u pisanom obliku, biti jasna i jednoznačna, navoditi nadzorno tijelo koje je izdalo mjeru, datum izdavanja mjere, sadržavati potpis predsjednika ili člana nadzornog tijela kojeg je on ovlastio, navoditi razloge za tu mjeru i upućivati na pravo na učinkoviti pravni lijek.
Time se ne bi trebali isključiti dodatni zahtjevi na temelju postupovnog prava države članice.
Donošenje pravno obvezujuće odluke podrazumijeva da to može dovesti do sudskog preispitivanja u državi članici nadzornog tijela koje je donijelo određenu odluku.

- = -

(151) U pravnim sustavima Danske i Estonije nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi.
Pravila za upravne novčane kazne mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, a da u Estoniji nadzorno tijelo izriče novčanu kaznu u okviru prekršajnog postupka, pod uvjetom da takva primjena pravilâ u tim državama članicama ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela.
Stoga bi nadležni nacionalni sudovi trebali uzeti u obzir preporuku nadzornog tijela koje ukaže na novčanu kaznu.
U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće.

- = -

dal 2004 diritto e informatica