interactive GDPR 2016/0679 SL

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2. Odstavek 1 se ne uporablja, če je odločitev:

(a)	nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;

(b)	dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(c)	utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

3. V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4. Odločitve iz odstavka 2 ne temeljijo na posebnih vrstah osebnih podatkov iz člena 9(1), razen če se uporablja točka (a) ali (g) člena 9(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

Oddelek 5

Omejitve

Člen 24

Odgovornost upravljavca

1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3. Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.

Člen 25

Vgrajeno in privzeto varstvo podatkov

1. Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2. Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3. Odobreni mehanizem potrjevanja v skladu s členom 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 34

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

1. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2. V sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepe iz točk (b), (c) in (d) člena 33(3).

3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)	upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)	to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4. Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

Oddelek 3

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 44

Splošno načelo za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Člen 45

Prenosi na podlagi sklepa o ustreznosti

1. Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2. Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3. Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).

4. Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.

5. Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6. Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7. Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.

8. Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

9. Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.

Člen 49

Odstopanja v posebnih primerih

1. Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)	prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)	prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)	prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)	prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)	prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g)

prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.

2. Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

3. Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.

4. Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.

5. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.

6. Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.

Člen 83

Splošni pogoji za naložitev upravnih glob

1. Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)	narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)	ali je kršitev naklepna ali posledica malomarnosti;

(c)	vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(d)	stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;

(e)	vse zadevne predhodne kršitve upravljavca ali obdelovalca;

(f)	stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(g)	vrste osebnih podatkov, ki jih zadeva kršitev,

(h)	kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;

(i)	kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;

(j)	zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom potrjevanja v skladu s členom 42, in

(k)	morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

3. Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

(b)	obveznosti organa za potrjevanje v skladu s členoma 42 in 43;

(c)	obveznosti organa za spremljanje v skladu s členom 41(4).

5. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;

(b)	pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;

(c)	prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;

(d)	katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;

(e)	neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).

6. V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7. Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.

8. Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

9. Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.

whereas

(22) Vsaka obdelava osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji.
Sedež pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev.
Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

- = -

(32) Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.
To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov.
Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.
Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene.
Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

- = -

(52) Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje.
Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva, ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Odstopanje bi prav tako moralo veljati za obdelavo takih osebnih podatkov, kadar je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v sodnem postopku ali v upravnem ali izvensodnem postopku.

- = -

(74) Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu.
Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov.
Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

- = -

(79) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavcev in obdelovalcev, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno dodelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

- = -

(87) Preveriti bi bilo treba, ali so bili izvedeni vsi ustrezni tehnološki zaščitni in organizacijski ukrepi, da bi takoj ugotovili, ali je prišlo do kršitve varstva osebnih podatkov, ter o tem nemudoma obvestili nadzorni organ in posameznika, na katerega se nanašajo osebni podatki.
Dejstvo, ali je bilo obvestilo poslano nemudoma, bi bilo treba ugotoviti ob upoštevanju zlasti narave in teže kršitve varstva osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki.
Na podlagi takšnega obvestila lahko nadzorni organ ukrepa v skladu s svojimi nalogami in pristojnostmi, določenimi v tej uredbi.

- = -

(89) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov.
Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov.
Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov.
Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

- = -

(94) Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z nadzornim organom.
Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar lahko povzroči tudi škodo za pravice in svoboščine posameznika ali poseg vanje.
Nadzorni organ bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju.
Vendar odsotnost odziva nadzornega organa v tem obdobju ne bi smela posegati v kakršno koli posredovanje tega organa v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave.
Rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, se lahko kot del tega postopka posvetovanja predloži nadzornemu organu, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

- = -

(97) Kadar obdelavo izvaja javni organ, razen sodišč ali neodvisnih pravosodnih organov, kadar delujejo kot sodni organi, ali kadar v zasebnem sektorju obdelavo izvaja upravljavec, katerega temeljne dejavnosti obsegajo dejanja obdelave, ki zahtevajo obsežno redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami in prekrški, bi morala upravljavcu ali obdelovalcu pri spremljanju notranje skladnosti s to uredbo pomagati oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks.
V zasebnem sektorju se temeljne dejavnosti upravljavca nanašajo na njegove osnovne dejavnosti in ne na obdelavo osebnih podatkov kot postranske dejavnosti.
Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedena dejanja obdelave podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca ali obdelovalca.
Taka pooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

- = -

(101) Prenosi osebnih podatkov v države zunaj Unije in mednarodne organizacije ter iz njih so potrebni za razvoj mednarodne trgovine in mednarodnega sodelovanja.
Povečanje takih prenosov je prineslo nove izzive in skrbi glede varstva osebnih podatkov.
Vendar kadar se osebni podatki prenašajo iz Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne bi smela biti ogrožena, vključno v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem, obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji.
V vsakem primeru se lahko prenosi v tretje države in mednarodne organizacije izvajajo samo v popolni skladnosti s to uredbo.
Prenos bi se lahko izvedel le, če upravljavec ali obdelovalec v skladu z drugimi določbami te uredbe izpolnjuje pogoje iz določb te uredbe v zvezi s prenosom podatkov v tretje države ali mednarodne organizacije.

- = -

(111) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi.
Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije ali pravom držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom.
V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

- = -

(159) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v znanstveno-raziskovalne namene.
Za namene te uredbe bi bilo treba obdelavo osebnih podatkov v znanstveno-raziskovalne namene razlagati široko, tako da vključuje tudi na primer tehnološki razvoj, predstavitvene dejavnosti, temeljne raziskave, uporabne raziskave in zasebno financirane raziskave.
Poleg tega bi bilo treba upoštevati cilj Unije iz člena 179(1) PDEU glede oblikovanja evropskega raziskovalnega prostora.
Znanstveno-raziskovalni nameni bi morali zajemati tudi študije, izvedene v javnem interesu na področju javnega zdravja.
Da bi upoštevali posebnosti obdelave osebnih podatkov v znanstveno-raziskovalne namene, bi morali veljati posebni pogoji, zlasti v zvezi z objavo ali drugim razkritjem osebnih podatkov v okviru znanstveno-raziskovalnih namenov. Če so na podlagi rezultatov znanstvenih raziskav, zlasti na področju zdravja, potrebni nadaljnji ukrepi v interesu posameznika, na katerega se nanašajo osebni podatki, bi se v zvezi s takšnimi ukrepi morala uporabljati splošna pravila iz te uredbe.

- = -

dal 2004 diritto e informatica