interactive GDPR 2016/0679 SL

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 12

Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1. Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2 Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. V primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3. Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4. Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

5. Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:

(a)	zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

(b)	zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6. Brez poseganja v člen 11 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 15 do 21, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7. Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 13 in 14 se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8. Komisija je v skladu s členom 92 pooblaščena za sprejemanje delegiranih aktov z namenom določitve informacije, ki se navedejo v standardiziranih ikonah, in postopkov za določitev standardiziranih ikon.

Oddelek 2

Informacije in dostop do osebnih podatkov

Člen 15

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)	namene obdelave;

(b)	vrste zadevnih osebnih podatkov;

(c)	uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)	kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)	obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)	pravico do vložitve pritožbe pri nadzornem organu;

(g)	kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.

3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 3

Popravek in izbris

Člen 17

Pravica do izbrisa („pravica do pozabe“)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)	osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)	posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)	posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d)	osebni podatki so bili obdelani nezakonito;

(e)	osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f)	osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3. Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)	za uresničevanje pravice do svobode izražanja in obveščanja;

(b)	za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)	iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

(d)	za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)	za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 32

Varnost obdelave

1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)	psevdonimizacijo in šifriranjem osebnih podatkov;

(b)	zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)	zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)	postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja zahtev iz odstavka 1 tega člena.

4. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

Člen 58

Pooblastila

1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a)	da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)	da izvaja preiskave v obliki pregledov na področju varstva podatkov;

(c)	da izvaja preglede potrdil, izdanih v skladu s členom 42(7);

(d)	da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(e)	da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(f)	da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

2. Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

(a)	da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)	da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)	da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d)	da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(e)	da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(f)	da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(g)	da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(h)	da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;

(i)	da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

(j)	da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

3. Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)	da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

(b)	da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(c)	da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

(d)	da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

(e)	da pooblasti organe za potrjevanje v skladu s členom 43;

(f)	da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);

(g)	da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

(h)	da odobri pogodbena določila iz točke (a) člena 46(3);

(i)	da odobri upravne dogovore iz točke (b) člena 46(3);

(j)	da odobri zavezujoča poslovna pravila v skladu s členom 47.

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6. Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.

Člen 72

Postopek

1. Odbor odločitve sprejema z navadno večino članov, razen če je v tej uredbi določeno drugače.

2. Odbor sprejme svoj poslovnik z dvotretjinsko večino svojih članov in določi svoj način delovanja.

whereas

(65) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca.
Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zlasti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo.
Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta.
Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok.
Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

- = -

(83) Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje.
Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati.
Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

- = -

(131) Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila.
To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

- = -

dal 2004 diritto e informatica