interactive GDPR 2016/0679 HR

1. Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz ove Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija iz članaka 13. i 14., te to čine međusobnim dogovorom, osim ako su odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike.

2. Dogovor iz stavka 1. mora odražavati pojedinačne uloge i odnose zajedničkih voditelja obrade u odnosu na ispitanike. Bit dogovora mora biti dostupna ispitaniku.

3. Bez obzira na uvjete dogovora iz stavka 1. ispitanik može ostvarivati svoja prava iz ove Uredbe u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih.

Članak 35.

Procjena učinka na zaštitu podataka

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:

(a)	sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)	opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(c)	sustavnog praćenja javno dostupnog područja u velikoj mjeri.

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.

6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.

7. Procjena sadrži barem:

(a)	sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(b)	procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(c)	procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)	mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.

9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.

11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

Članak 40.

Kodeksi ponašanja

1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća.

2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:

(a)	poštene i transparentne obrade;

(b)	legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)	prikupljanja osobnih podataka;

(d)	pseudonimizacije osobnih podataka;

(e)	informiranja javnosti i ispitanika;

(f)	ostvarivanja prava ispitanika;

(g)	informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)	mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)	izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)	prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)	izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika.

4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56.

5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere.

6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje.

7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere.

8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji.

9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9.

11. Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 42.

Certificiranje

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.

3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.

4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 68.

Europski odbor za zaštitu podataka

1. Europski odbor za zaštitu podataka („Odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost.

2. Odbor predstavlja njegov predsjednik.

3. Odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici.

4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice.

5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima Odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik Odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka.

6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe.

Članak 70.

Zadaće Odbora

1. Odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu Odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito:

(a)	prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela;

(b)	savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe;

(c)	savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila;

(d)	izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2;

(e)	ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe;

(f)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.;

(g)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(h)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1.

(i)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.;

(j)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.;

(k)	izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.;

(l)	preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f);

(m)	izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.;

(n)	potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.;

(o)

provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.;

(p)	određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.;

(q)	Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.;

(r)	Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.;

(s)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom.

(t)	daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.;

(u)	promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela;

(v)	promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija;

(w)	promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

(x)	daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i

(y)	vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti.

2. Ako Komisija zatraži savjet od Odbora, može navesti rok, uzimajući u obzir hitnost predmeta.

3. Odbor prosljeđuje Komisiji i odboru navedenom u članku 93. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje.

4. Odbor se prema potrebi savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare. Ne dovodeći u pitanje članak 76. Odbor javno objavljuje rezultate postupka savjetovanja.

whereas

(28) Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka.
Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjerava isključiti bilo koje druge mjere za zaštitu podataka.

- = -

(48) voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika.
Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena.

- = -

(68) Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada obavlja automatskim putem, ispitaniku bi se također trebalo dopustiti da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade.
Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka.
To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke da ona temelju svoje privole ili kad je obrada nužna za izvršenje ugovora.
To se pravo ne bi smjelo primjenjivati ako se obrada temelji na drugoj pravnoj osnovi koja nije privola ili ugovor.
Samom svojom prirodom to se pravo ne može ostvariti u slučaju da voditelji obrade osobne podatke obrađuju u okviru svojih javnih dužnosti.
Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna kako bi se poštovala pravna obveza kojoj voditelj obrade podliježe ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu.
Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i sloboda ostalih ispitanika u skladu s ovom Uredbom.
Nadalje, tim pravom također se ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao i ograničenja tog prava, kako je navedeno u ovoj Uredbi, te ono osobito ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i koliko god su potrebni.
Ako je tehnički izvedivo, ispitanik bi trebao imati pravo na to se osobni podaci prenose izravno između voditelja obrade.

- = -

(78) Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe.
Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.
Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke.
Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka.
Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

- = -

(79) Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama koje provode nadzorna tijela, zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

- = -

(101) Tokovi osobnih podataka u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje.
Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom osobnih podataka.
Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.
U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe.
Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

- = -

(146) Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba.
Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu.
Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe.
Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili prava države članice.
Obrada kojom se krši ova Uredba također uključuje obradu kojom se krše delegirani i provedbeni akti doneseni u skladu s ovom Uredbom i pravom države članice kojim se razrađuju pravila ove Uredbe.
Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli.
Ako su voditelji obrade ili izvršitelji obrade uključeni u istu obradu, svaki voditelj obrade ili izvršitelja obrade trebalo bi smatrati odgovornim za cjelokupnu štetu.
Međutim ako su povezani u isti sudski postupak, u skladu s pravom države članice, naknada se može raspodijeliti u skladu s odgovornošću svakog voditelja obrade ili izvršitelja obrade za štetu uzrokovanu obradom, pod uvjetom da se osigura puna i učinkovita naknada ispitaniku koji je pretrpio štetu.
Svaki voditelj obrade ili izvršitelj obrade koji je platio punu naknadu, može naknadno pokrenuti postupak za regres protiv drugih voditelja obrade ili izvršitelja obrade uključenih u istu obradu.

- = -

(168) Za donošenje provedbenih akata o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; primjerenom stupnju zaštite u trećoj zemlji, na području ili u određenom sektoru unutar treće zemlje ili u međunarodnoj organizaciji; standardnim klauzulama o zaštiti; formatima i postupcima za razmjenu informacija elektroničkim putem među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; uzajamnoj pomoći; sustavima za razmjenu informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora trebalo primjenjivati postupak ispitivanja.

- = -

dal 2004 diritto e informatica