interactive GDPR 2016/0679 HR

1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:

(a)	identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;

(b)	kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)	svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

(d)	ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(e)	primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f)

ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:

(a)	razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)	postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

(c)	ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)	pravo na podnošenje prigovora nadzornom tijelu;

(e)	informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)	postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

4. Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Članak 14.

Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

1. Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:

(a)	identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo;

(b)	kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)	svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;

(d)	kategorije osobnih podataka o kojima je riječ;

(e)	primatelje ili kategorije primatelja osobnih podataka, prema potrebi;

(f)

ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje;

2. Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:

(a)	razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)	ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(c)	postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

(d)	ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(e)	pravo na podnošenje prigovora nadzornom tijelu;

(f)	izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;

(g)	postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3. Voditelj obrade pruža informacije iz stavaka 1. i 2.:

(a)	unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)	ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)	ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.

4. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

5. Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:

(a)	ispitanik već posjeduje informacije;

(b)

pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti;

(c)	dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili

(d)	ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu.

Članak 28.

Izvršitelj obrade

1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene.

3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)	osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)	poduzima sve potrebne mjere u skladu s člankom 32.;

(d)	poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)	uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)	pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)	po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)	voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.

4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka.

6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43.

7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2.

8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63.

9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik.

10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 45.

Prijenosi na temelju odluke o primjerenosti

1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)	međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.

5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.

6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.

7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.

8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.

9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.

Članak 46.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1. Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

2. Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

(a)	pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)	obvezujuća korporativna pravila u skladu s člankom 47.;

(c)	standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d)	standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(e)	odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili

(f)	odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.

3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

(a)	ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)	odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

4. Nadzorno tijelo u slučajevima iz stavka 3. ovog članka primjenjuje mehanizam konzistentnosti iz članka 63.

5. Odobrenja države članice ili nadzornog tijela na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju valjana dok ih nadzorno tijelo prema potrebi ne izmijeni, zamijeni ili stavi izvan snage. Odluke koje je Komisija donijela na osnovi članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 2. ovog članka.

Članak 47.

Obvezujuća korporativna pravila

1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:

(a)	su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)	izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)	ispunjavaju uvjete utvrđene u stavku 2.

2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:

(a)	strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)	prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)	njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)	kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)	postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)	mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)	mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)	odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Članak 49.

Odstupanja za posebne situacije

1. Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:

(a)	ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)	prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)	prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)	prijenos je nužan iz važnih razloga javnog interesa;

(e)	prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f)	prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;

(g)

prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.

2. Prijenos na temelju prvog podstavka stavka 1. točke (g) ne uključuje osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru. Kada registar služi na uvid osobama koje imaju opravdani interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.

3. Stavak 1. prvi podstavak točke (a), (b) i (c) i stavak 1. drugi podstavak ne primjenjuju se na aktivnosti koje provode tijela javne vlasti izvršavajući svoje javne ovlasti.

4. Javni interes iz prvog podstavka stavka 1. točke (d) mora biti priznat u pravu Unije ili u pravu države članice kojem podliježe voditelj obrade.

5. Ako nije donesena odluka o primjerenosti, pravo Unije ili pravo države članice mogu, iz važnih razloga javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice dužne su obavijestiti Komisiju o takvim odredbama.

6. Voditelj obrade ili izvršitelj obrade dokumentiraju procjenu kao i odgovarajuće mjere zaštite iz stavka 1. drugog podstavka ovog članka u evidencijama iz članka 30.

Članak 58.

Ovlasti

1. Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:

(a)	narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;

(b)	provoditi istrage u obliku revizije zaštite podataka;

(c)	provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;

(d)	obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(e)	ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;

(f)	ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.

2. Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:

(a)	izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;

(b)	izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)	narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(d)	narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;

(e)	narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(f)	privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;

(g)	narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;

(h)	povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;

(i)	izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;

(j)	narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.

3. Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti:

(a)	savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,

(b)	na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;

(c)	odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;

(d)	izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;

(e)	akreditirati certifikacijska tijela u skladu s člankom 43.;

(f)	izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(g)	donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(h)	odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);

(i)	odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);

(j)	odobriti obvezujuća korporativna pravila u skladu s člankom 47.

4. Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom.

5. Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe.

6. Svaka država članica zakonom može predvidjeti da nadzorno tijelo uz ovlasti iz stavaka 1., 2. i 3. ima dodatne ovlasti. Izvršavanje tih ovlasti ne smije narušavati učinkovito djelovanje odredaba poglavlja VII.

Članak 70.

Zadaće Odbora

1. Odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu Odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito:

(a)	prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela;

(b)	savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe;

(c)	savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila;

(d)	izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2;

(e)	ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe;

(f)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.;

(g)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(h)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1.

(i)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.;

(j)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.;

(k)	izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.;

(l)	preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f);

(m)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.;

(n)	potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.;

(o)

provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.;

(p)	određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.;

(q)	Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.;

(r)	Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.;

(s)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom.

(t)	daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.;

(u)	promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela;

(v)	promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija;

(w)	promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

(x)	daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i

(y)	vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti.

2. Ako Komisija zatraži savjet od Odbora, može navesti rok, uzimajući u obzir hitnost predmeta.

3. Odbor prosljeđuje Komisiji i odboru navedenom u članku 93. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.

4. Odbor se prema potrebi savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare. Ne dovodeći u pitanje članak 76. Odbor javno objavljuje rezultate postupka savjetovanja.

Članak 83.

Opći uvjeti za izricanje upravnih novčanih kazni

1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)	prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)	ima li kršenje obilježje namjere ili nepažnje;

(c)	svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;

(d)	stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

(e)	svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;

(f)	stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;

(g)	kategorijama osobnih podataka na koje kršenje utječe;

(h)	načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;

(i)	ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;

(j)	poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i

(k)	svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje.

4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;

(b)	obveza certifikacijskog tijela u skladu s člancima 42. i 43.;

(c)	obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;

5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:

(a)	osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;

(b)	prava ispitanika u skladu s člancima od 12. do 22.;

(c)	prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;

(d)	svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;

(e)	nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.

8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje.

9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe.

whereas

(23) Kako bi se osiguralo da pojedincima nije uskraćena zaštita na koju imaju pravo na temelju ove Uredbe, na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, trebala bi se primjenjivati ova Uredba ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima, bez obzira na to ima li ta ponuda veze s plaćanjem.
Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li očito da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima koji se nalaze u jednoj ili više država članica Unije.
Iako su sama dostupnost internetskih stranica voditelja obrade, izvršitelja obrade ili posrednika u Uniji ili adrese elektroničke pošte i drugih kontaktnih podataka ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj voditelj obrade ima poslovni nastan nedovoljni za utvrđivanje takve namjere, čimbenici kao što je korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da voditelj obrade namjerava nuditi robu ili usluge ispitanicima u Uniji.

- = -

(48) Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika.
Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena.

- = -

(101) Tokovi osobnih podataka u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje.
Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom osobnih podataka.
Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.
U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe.
Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

- = -

(103) Komisija može odlučiti s učinkom na cijelu Uniju da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka te na taj način pruža pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećoj zemlji ili međunarodnoj organizaciji za koju se smatra da pruža takvu razinu zaštite.
U takvim slučajevima prijenosi osobnih podataka u te treću zemlju ili međunarodnu organizaciju mogu se obavljati bez potrebe za dobivanjem daljnjeg ovlaštenja.
Komisija također može odlučiti da povuče takvu odluku, nakon što trećoj zemlji ili međunarodnoj organizaciji uputi obavijest i izjavu u kojoj se navode razlozi.

- = -

(104) Sukladno s temeljnim vrijednostima na kojima se temelji Unija, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako određena treća zemlja poštuje vladavinu prava, pristup pravosuđu kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorske zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo.
Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih normi i zakonodavstva koji su na snaziu trećoj zemlji.
Treća zemlja trebala bi ponuditi jamstva kojima se osigurava primjerena razina zaštite, u načelu istovjetna onoj koja je osigurana u Uniji, posebno kada se osobni podaci obrađuju u jednom ili više određenih sektora.
Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

- = -

(106) Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, području ili posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji, te pratiti djelovanje odluka koje su donesene na temelju članka 25.
stavka 6.
i članka 26.
stavka 4.
Direktive 95/46/EZ.
U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihova funkcioniranja.
To bi se periodično preispitivanje trebalo provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji.
Za potrebe praćenja i provođenja periodičnih preispitivanja Komisija bi trebala uzeti u obzir stajališta i zaključke Europskog parlamenta i Vijeća, kao i ostalih relevantnih tijela i izvora.
Komisija bi trebala ocijeniti, u razumnom roku, funkcioniranje potonjih odluka i o svim relevantnim nalazima izvijestiti Odbor u smislu Uredbe (EU) br. 182/2011 Europskog parlamenta i Vijeća (12) kako je ustanovljen na temelju ove Uredbe, te Europski parlament i Vijeće.

- = -

(107) Komisija može utvrditi da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka.
Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Uredbe koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama, uključujući obvezujuća korporativna pravila, te odstupanja za posebne situacije.
U tom slučaju trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija.
Komisija bi trebala pravodobno obavijestiti treću državu ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

- = -

(108) Ako nije donesena odluka o primjerenosti voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika.
Takve odgovarajuće zaštitne mjere mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo.
Tim zaštitnim mjerama trebalo bi osigurati sukladnost sa zahtjevima za zaštitu podataka i prava ispitanikâ primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji.
One bi se trebale osobito odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka, načela tehničke i integrirane zaštite podataka.
Tijela javne vlasti ili tijela s javnim ovlastima ili tijela u trećim zemljama ili pri međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima mogu također obavljati prijenose, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane poput memoranduma o razumijevanju, kojima se ispitaniku osiguravaju ostvariva i učinkovita prava.
Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi ovlaštenje nadležnog nadzornog tijela.

- = -

(112) Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između tijela nadležnih za tržišno natjecanje, poreznih i carinskih uprava, među financijskim nadzornim tijelima, među službama nadležnim za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu.
Prijenos osobnih podataka trebalo bi također smatrati zakonitim ako je nužan za zaštitu interesa koji je temeljan za vitalne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu.
Ako ne postoji odluka o primjerenosti, pravom Unije ili pravom države članice mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji.
Države članice trebale bi izvijestiti Komisiju o takvim odredbama.
Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, s ciljem izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim zbog važnosti javnog interesa ili zbog toga što je od vitalnog interesa za ispitanika.

- = -

(113) Prijenosi koji se ne mogu smatrati ponavljajućim i koji se odnose samo na ograničen broj ispitanika mogli bi također biti mogući u svrhe uvjerljivih, legitimnih interesa voditelja obrade, kada ti interesi nisu podređeni interesima ili pravima i slobodama ispitanika i kada je voditelj obrade procijenio sve okolnosti prijenosa podataka.
Voditelj obrade posebnu bi pozornost trebao obratiti na prirodu osobnih podataka, namjenu i trajanje predložene obrade ili predloženih obrada, kao i na situaciju u zemlji porijekla, trećoj zemlji i zemlji konačnog odredišta te bi trebao predvidjeti odgovarajuće zaštitne mjere temeljnih prava i sloboda pojedinaca u vezi s obradom njihovih osobnih podataka.
Takvi prijenosi trebali bi biti mogući samo u preostalim slučajevima kada nikakvi drugi razlozi za prijenos nisu primjenjivi.
Za potrebe obrade u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi uzeti u obzir legitimna očekivanja društva za povećanjem znanja.
Voditelj obrade o prijenosu bi trebao obavijestiti nadzorno tijelo i ispitanika.

- = -

(114) U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere.

- = -

(168) Za donošenje provedbenih akata o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; primjerenom stupnju zaštite u trećoj zemlji, na području ili u određenom sektoru unutar treće zemlje ili u međunarodnoj organizaciji; standardnim klauzulama o zaštiti; formatima i postupcima za razmjenu informacija elektroničkim putem među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; uzajamnoj pomoći; sustavima za razmjenu informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora trebalo primjenjivati postupak ispitivanja.

- = -

dal 2004 diritto e informatica