(41) Ako se ovom Uredbom upućuje na pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice.
Međutim, takva pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda Europske unije („Sud”) i Europskog suda za ljudska prava.
- = -
(43) Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade, posebno ako je voditelj obrade tijelo javne vlasti i stoga nije vjerojatno da je s obzirom na sve okolnostima te posebne situacije privola dana dobrovoljno.
Smatra se da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.
- = -
(54) Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja.
takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca.
U tom bi kontekstu „javno zdravlje” trebalo tumačiti kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (11), što znači svi elementi povezani sa zdravljem, tj.
zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti.
takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela prouzročiti obradu osobnih podataka u druge svrhe koju obavljaju treće strane kao što su poslodavci ili osiguravajuća društva i banke.
- = -
(58) Načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom.
takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti.
To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja.
Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.
- = -
(71) Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije.
takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu.
Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije ili pravom države članice kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje, što se provodi u skladu s propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih tijela te osiguravanja sigurnosti i pouzdanosti usluge koju pruža voditelj obrade ili ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade ili kada je ispitanik izričito dao svoju privolu.
U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke.
Takve se mjere ne bi smjele odnositi na djecu.
- = -
(86) Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza.
U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke.
takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva.
Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest.
- = -
(87) Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika.
Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika.
takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.
- = -
(88) Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe.
Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.
- = -
(99) Prilikom izrade kodeksa ponašanja ili kada se mijenja ili proširuje takav kodeks, udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebali bi se savjetovati s odgovarajućim dionicima, uključujući ispitanike ako je to izvedivo i uzimati u obzir primljene podneske i izražena mišljenja kao odgovore na takva savjetovanja.
- = -
(124) Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, a voditelj obrade ili izvršitelj obrade imaju poslovni nastan u više od jedne države članice ili ako obrada koja se odvija u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo.
Ono bi trebalo surađivati s drugim predmetnim tijelima zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području njihove države članice, zato što to bitno utječe na ispitanike koji imaju boravište na njihovom državnom području ili zato što im je podnesena pritužba.
Također, ako je pritužbu podnio ispitanik koji nema boravište u toj državi članici, nadzorno tijelo kojem je takva pritužba podnesena također bi trebalo biti predmetno nadzorno tijelo.
U okviru zadaća za izdavanje smjernica o bilo kojem pitanju koje obuhvaća primjenu ove Uredbe, Odbor bi trebao imati mogućnost izdati smjernice posebno o kriterijima koje treba uzeti u obzir kako bi se utvrdilo utječe li predmetna obrada bitno na ispitanike u više od jedne države članice i o tome što predstavlja relevantan i obrazložen prigovor.
- = -
(135) Radi osiguravanja dosljedne primjene ove Uredbe u cijeloj Uniji trebalo bi uspostaviti mehanizam konzistentnosti za suradnju među nadzornim tijelima.
Taj bi se mehanizam posebno trebao primjenjivati ako nadzorno tijelo namjerava donijeti mjeru kojom se poduzimaju pravni učinci u pogledu postupaka obrade koji bitno utječu na veliki broj ispitanika u više država članica.
Također bi se trebao primjenjivati kada bilo koje predmetno nadzorno tijelo ili Komisija traži da se takva pitanja rješavaju mehanizmom konzistentnosti.
Taj mehanizam ne bi trebao utjecati na bilo koje mjere koje Komisija može poduzeti za izvršavanje svojih ovlasti prema Ugovorima.
- = -
(143) Svaka fizička ili pravna osoba ima pravo pokrenuti postupak za poništenje odluka Odbora pred Sudom u skladu s uvjetima iz članka 263.
UFEU-a.
Kao primatelji takvih odluka, predmetna nadzorna tijela koja ih žele osporiti moraju pokrenuti postupak u roku od dva mjeseca od zaprimanja obavijesti o njima, u skladu s člankom 263.
UFEU-a.
Kada se odluke Odbora izravno odnose na pojedinog voditelja obrade, izvršitelja obrade ili podnositelja pritužbe, ta osoba može pokrenuti postupak za poništenje tih odluka u roku od dva mjeseca od njihove objave na internetskim stranicama Odbora, u skladu s člankom 263.
UFEU-a.
Ne dovodeći u pitanje to pravo u skladu s člankom 263.
UFEU-a, svaka fizička ili pravna osoba trebala bi imati učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela koja proizvodi pravne učinke prema toj osobi.
takva odluka posebno se odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužbi.
Pravo na učinkovit pravni lijek međutim ne obuhvaća mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo.
Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s postupovnim pravom te države članice.
Ti bi sudovi trebali imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za konkretni spor.
- = -
(151) U pravnim sustavima Danske i Estonije nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi.
Pravila za upravne novčane kazne mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, a da u Estoniji nadzorno tijelo izriče novčanu kaznu u okviru prekršajnog postupka, pod uvjetom da takva primjena pravilâ u tim državama članicama ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela.
Stoga bi nadležni nacionalni sudovi trebali uzeti u obzir preporuku nadzornog tijela koje ukaže na novčanu kaznu.
U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće.
- = -
(153) U pravu država članica trebalo bi uskladiti pravila kojima se uređuje sloboda izražavanja i informiranja, među ostalim novinarskog, akademskog, umjetničkog i/ili književnog izražavanja s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.
Na obradu osobnih podataka isključivo u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja trebalo bi primjenjivati odstupanja ili izuzeća od određenih odredaba ove Uredbe, ako je to potrebno kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i informiranja, kako je utvrđeno u članku 11.
Povelje.
To bi se posebno trebalo primjenjivati na obradu osobnih podataka u audiovizualnom području te u novinskim i medijskim arhivima.
Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava.
Države članice trebale bi usvojiti takva izuzeća i odstupanja u pogledu općih načela, pravâ ispitanika, u pogledu voditelja obrade i izvršitelja obrade, prijenosa osobnih podataka u treće zemlje ili međunarodne organizacije, neovisnih nadzornih tijela, suradnje i usklađenosti te posebnih slučajeva obrade podataka.
Ako se ta izuzeća i odstupanja razlikuju od jedne države članice do druge trebalo bi se primjenjivati pravo države članice koje se primjenjuje na voditelja obrade.
Radi uzimanja u obzir važnosti prava na slobodu izražavanja u svakom demokratskom društvu potrebno je široko tumačiti pojmove u vezi s tom slobodom, kao što je novinarstvo.
- = -