search


interactive GDPR 2016/0679 SL

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 SL jump to: cercato: 'dejavnosti' . Output generated live by software developed by IusOnDemand srl




whereas dejavnosti:


definitions:


cloud tag: and the number of total unique words without stopwords is: 1449

 

Člen 2

Področje uporabe

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

2.   Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)

v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)

s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V PEU;

(c)

s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti;

(d)

s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

3.   Za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije se uporablja Uredba (ES) št. 45/2001. Uredba (ES) št. 45/2001 in drugi pravni akti Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, se prilagodijo načelom in pravilom iz te uredbe v skladu s členom 98.

4.   Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti v uporabo pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

Člen 3

Ozemeljska veljavnost

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.

2.   Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane:

(a)

z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali

(b)

s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.

3.   Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo države članice uporablja na podlagi mednarodnega javnega prava.

Člen 4

Opredelitev pojmov

V tej uredbi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)

„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)

„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)

„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)

„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)

„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)

„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)

„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)

ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)

obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)

je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)

obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)

obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)

„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)

„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 9

Obdelava posebnih vrst osebnih podatkov

1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)

obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

4.   Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

Člen 24

Odgovornost upravljavca

1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.   Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.

Člen 28

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)

spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)

ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8.   Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 30

Evidenca dejavnosti obdelave

1.   Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

(a)

naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

(b)

namene obdelave;

(c)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(f)

kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

2.   Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

(a)

naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

3.   Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

4.   Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.

5.   Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2   Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3.   Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)

obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)

obsežnega sistematičnega spremljanja javno dostopnega območja.

4.   Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5.   Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6.   Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7.   Ocena zajema vsaj:

(a)

sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)

oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8.   Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9.   Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10.   Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11.   Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 37

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a)

obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

2.   Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

3.   Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4.   V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6.   Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.

7.   Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 40

Kodeksi ravnanja

1.   Države članice, nadzorni organi, odbor in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.

2.   Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:

(a)

poštene in pregledne obdelave;

(b)

zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;

(c)

zbiranje osebnih podatkov;

(d)

psevdonimizacije osebnih podatkov;

(e)

obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;

(f)

uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;

(g)

obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;

(h)

ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;

(i)

uradno obveščanje nadzornih organov o kršitvah varstva osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;

(j)

prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali

(k)

izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

3.   Poleg tega, da so h kodeksom ravnanja, ki so bili odobreni v skladu z odstavkom 5 tega člena in so splošno veljavni v skladu z odstavkom 9 tega člena, zavezani upravljavci ali obdelovalci, za katere se uporablja ta uredba, se k njim lahko zavežejo tudi upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, da se zagotovijo ustrezni zaščitni ukrepi v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (e) člena 46(2). Taki upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, vključno glede pravic posameznikov, na katere se nanašajo osebni podatki.

4.   Kodeks ravnanja iz odstavka 2 tega člena vsebuje mehanizme, ki organu iz člena 41(1) omogočajo izvajanje obveznega spremljanja skladnosti z njegovimi določbami s strani upravljavcev ali obdelovalcev, ki se zavežejo k njegovi uporabi, brez poseganja v naloge in pooblastila nadzornih organov, pristojnih v skladu s členom 55 ali 56.

5.   Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.

6.   Kadar se osnutek kodeksa, sprememba ali razširitev odobri v skladu z odstavkom 5 in kadar se zadevni kodeks ravnanja ne nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ kodeks registrira in objavi.

7.   Kadar se osnutek kodeksa ravnanja nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ, ki je pristojen v skladu s členom 55, pred odobritvijo osnutka kodeksa, spremembe ali razširitve predloži v postopek iz člena 63 odboru, ki poda mnenje o tem, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo oziroma v primeru iz odstavka 3 tega člena zagotavlja ustrezne zaščitne ukrepe.

8.   Kadar mnenje iz odstavka 7 potrdi, da so osnutek kodeksa, spremembo ali razširitev skladni s to uredbo ali v primeru iz odstavka 3 zagotavljajo ustrezne zaščitne ukrepe, odbor svoje mnenje predloži Komisiji.

9.   Komisija lahko z izvedbenimi akti sklene, da so odobren kodeks ravnanja, sprememba ali razširitev, ki so ji bili predloženi na podlagi odstavka 8 tega člena, v Uniji splošno veljavni. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

10.   Komisija zagotovi ustrezno objavo odobrenih kodeksov, za katere je v skladu z odstavkom 9 sklenila, da so splošno veljavni.

11.   Odbor zbira vse odobrene kodekse ravnanja, spremembe in razširitve v registru in jih objavi na ustrezne načine.

Člen 42

Potrjevanje

1.   Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov za dokazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Upoštevajo se posebne potrebe mikro, malih in srednjih podjetij.

2.   Poleg tega, da se mehanizmi potrjevanja, pečate ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za dokazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2). Takšni upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3.   Potrjevanje je prostovoljno in se zagotavlja v okviru postopka, ki je pregleden.

4.   Potrdilo v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5.   Potrdilo v skladu s tem členom izdajo organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno potrjevanje, evropski pečat za varstvo podatkov.

6   Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem potrjevanja, organu za potrjevanje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka potrjevanja.

7.   Potrdilo se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, potrdilo prekličejo, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.

8.   Odbor zbira v registru vse mehanizme potrjevanja ter pečate in označbe za varstvo podatkov in jih objavi na kakšne koli ustrezne načine.

Člen 49

Odstopanja v posebnih primerih

1.   Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)

prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)

prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)

prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)

prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)

prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g)

prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.

2.   Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

3.   Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.

4.   Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.

5.   Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.

6.   Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.

Člen 50

Mednarodno sodelovanje za varstvo osebnih podatkov

Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:

(a)

oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

Neodvisni nadzorni organi

Oddelek 1

Status neodvisnosti

Člen 57

Naloge

1.   Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)

spremlja in zagotavlja uporabo te uredbe;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)

spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(e)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

(h)

izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(i)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(j)

sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

(k)

vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(l)

svetuje glede dejanj obdelave iz člena 36(2);

(m)

spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

(n)

spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila potrjevanja v skladu s členom 42(5);

(o)

kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)

oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)

opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(r)

odobri pogodbena določila in določbe iz člena 46(3);

(s)

odobri zavezujoča poslovna pravila v skladu s členom 47;

(t)

prispeva k dejavnostim odbora;

(u)

hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

(v)

opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

2.   Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 59

Poročila o dejavnostih

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih ukrepov v skladu s členom 58(2). Ta poročila se predloži nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.

POGLAVJE VII

Sodelovanje in skladnost

Oddelek 1

Sodelovanje

Člen 68

Evropski odbor za varstvo podatkov

1.   Evropski odbor za varstvo podatkov (v nadaljnjem besedilu: odbor) se ustanovi kot organ Unije in je pravna oseba.

2.   Odbor zastopa njegov predsednik.

3.   Odbor sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.

4.   Kadar je v državi članici za spremljanje uporabe določb na podlagi te uredbe pristojnih več nadzornih organov, se v skladu s pravom te države članice imenuje skupni predstavnik.

5.   Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih odbora, nima pa glasovalne pravice. Komisija imenuje svojega predstavnika. Predsednik odbora obvesti Komisijo o dejavnostih odbora.

6.   V primerih iz člena 65 ima Evropski nadzornik za varstvo podatkov glasovalno pravico le pri odločitvah v zvezi z načeli in pravili, ki se uporabljajo za institucije, organe, urade in agencije Unije ter po vsebini ustrezajo načelom in pravilom iz te uredbe.

Člen 90

Obveznost varovanja skrivnosti

1.   Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.

2.   Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.


whereas

dal 2004 diritto e informatica