interactive GDPR 2016/0679 SL

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 9

Obdelava posebnih vrst osebnih podatkov

1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)	obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)	obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3. Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

4. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

Člen 36

Predhodno posvetovanje

1. Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

2. Kadar nadzorni organ meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, nadzorni organ v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler nadzorni organ ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3. Pri posvetovanju z nadzornim organom v skladu z odstavkom 1 upravljavec nadzornemu organu predloži:

(a)	kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

(b)	namene in sredstva predvidene obdelave;

(c)	ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)	kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)	oceno učinka v zvezi z varstvom podatkov iz člena 35 in

(f)	vsakršne druge informacije, ki jih zahteva nadzorni organ.

4. Države članice se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, posvetujejo z nadzornim organom.

5. Ne glede na odstavek 1 lahko pravo države članice od upravljavcev zahteva, naj se posvetujejo z nadzornim organom in od njega prejmejo predhodno dovoljenje v zvezi z obdelavo s strani upravljavca z namenom izvajanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo v zvezi s socialnim varstvom in javnim zdravjem.

Oddelek 4

Pooblaščena oseba za varstvo podatkov

Člen 60

Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi

1. Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.

2. Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem s sedežem v drugi državi članici.

3. Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.

4. Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.

5. Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.

6. Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.

7. Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in odboru. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.

8. Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.

9. Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. Vodilni nadzorni organ sprejme odločitev o delu, ki se nanaša na ukrepe, povezane z upravljavcem, o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca na ozemlju države članice, za katero je pristojen, sporoči pa jo tudi pritožniku, nadzorni organ pritožnika pa sprejme odločitev o delu, ki se nanaša na zavržbo ali zavrnitev pritožbe, in o njej uradno obvesti zadevnega pritožnika, sporoči pa jo tudi upravljavcu ali obdelovalcu.

10. Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih sedežev v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.

11. V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.

12. Vodilni nadzorni organ in drugi zadevni nadzorni organi drug drugemu z elektronskimi sredstvi posredujejo zahtevane informacije iz tega člena v standardizirani obliki.

Člen 61

Medsebojna pomoč

1. Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2. Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3. Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4. Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)	ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)	bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5. Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6. Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7. Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8. Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9. Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 62

Skupno ukrepanje nadzornih organov

1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2. Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. Pristojni nadzorni organ, ki je pristojen na podlagi člena 56(1) ali (4), k sodelovanju pri skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se brez odlašanja odzove na zahtevo nadzornega organa za sodelovanje.

3. Nadzorni organ lahko v skladu s pravom držav članic in z dovoljenjem nadzornega organa druge države članice dodeli pooblastila, tudi preiskovalna, članom ali osebju nadzornega organa druge države članice, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu države članice nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa druge države članice dovoli izvajanje njihovih preiskovalnih pooblastil v skladu s pravom države članice nadzornega organa druge države članice. Takšna preiskovalna pooblastila se lahko izvajajo samo pod vodstvom in v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja pravo države članice nadzornega organa gostitelja.

4. Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, tudi kazensko odgovornost, za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.

5. Država članica, na ozemlju katere je bila povzročena škoda, tako škodo poravna pod pogoji, ki veljajo za škodo, ki jo povzroči njeno lastno osebje. Država članica nadzornega organa druge države članice, katere osebje povzroči škodo kateri koli osebi na ozemlju druge države članice, tej drugi državi članici v celoti povrne vse zneske, ki jih je ta izplačala upravičenim osebam.

6. V primeru iz odstavka 1 vsaka država članica brez poseganja v uresničevanje svojih pravic do tretjih oseb in z izjemo odstavka 5 od druge države članice ne zahteva povračila škode iz odstavka 4.

7. Kadar se načrtuje skupno ukrepanje in nadzorni organ v enem mesecu ne izpolni obveznosti iz drugega stavka odstavka 2 tega člena, lahko drugi nadzorni organi v skladu s členom 55 sprejmejo začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujno mnenje ali nujna zavezujoča odločitev odbora.

Oddelek 2

Skladnost

Člen 64

Mnenje odbora

1. Odbor izda mnenje, kadar pristojni nadzorni organ namerava sprejeti katerega koli od ukrepov v nadaljevanju. V ta namen pristojni nadzorni organ posreduje osnutek odločitve odboru, ko:

(a)	je namenjen sprejetju seznama dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(b)	zadeva vprašanje v skladu s členom 40(7), in sicer, ali je osnutek kodeksa ravnanja oziroma sprememba ali razširitev v skladu s to uredbo;

(c)	je namenjen odobritvi meril za pooblastitev organa v skladu s členom 41(3) ali organa za potrjevanje v skladu s členom 43(3);

(d)	je namenjen določitvi standardnih določil o varstvu podatkov iz točke (d) člena 46(2) in iz člena 28(8);

(e)	je namenjen odobritvi pogodbenih določil iz točke (a) člena 46(3), ali

(f)	je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 47.

2. Kateri koli nadzorni organ, predsednik odbora ali Komisija lahko zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči odbor, ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 ali glede skupnega ukrepanja v skladu s členom 62.

3. V primerih iz odstavkov 1 in 2 odbor izda mnenje o vsebini, ki mu je predložena, če o isti zadevi ni že izdal mnenja. To mnenje se sprejme v osmih tednih z navadno večino članov odbora. To obdobje se lahko glede na kompleksnost vsebine podaljša za šest tednov. Kar zadeva osnutek odločitve iz odstavka 5, razposlan članom odbora v skladu z odstavkom 6, velja, da se član, ki ne izrazi nasprotovanja v razumnem roku, ki ga določi predsednik, strinja z osnutkom odločitve.

4. Nadzorni organi in Komisija odboru brez nepotrebnega odlašanja z elektronskimi sredstvi v standardizirani obliki sporočijo vse zadevne informacije, po potrebi vključno s povzetkom dejstev, osnutkom odločitve, razlogi, zaradi katerih je sprejetje takšnega ukrepa potrebno, in mnenji drugih zadevnih nadzornih organov.

5. Predsednik odbora brez nepotrebnega odlašanja z elektronskimi sredstvi obvesti:

(a)	člane odbora in Komisijo o vseh zadevnih informacijah, ki jih je prejel v standardizirani obliki. Sekretariat odbora po potrebi zagotovi prevode pomembnih informacij, in

(b)	nadzorni organ iz odstavka 1 oziroma 2 in Komisijo o mnenju, ki ga tudi objavi.

6. Pristojni nadzorni organ v roku iz odstavka 3 ne sprejme osnutka odločitve iz odstavka 1.

7. Nadzorni organ iz odstavka 1 čim bolj upošteva mnenje odbora in v dveh tednih po prejemu mnenja predsednika odbora z elektronskimi sredstvi v standardizirani obliki obvesti, ali bo ohranil ali spremenil svoj osnutek odločitve in spremenjeni osnutek odločitve, če obstaja.

8. Kadar zadevni nadzorni organ v obdobju iz odstavka 7 tega člena obvesti predsednika odbora, da v celoti ali deloma ne namerava upoštevati mnenja odbora, in to ustrezno utemelji, se uporabi člen 65(1).

Člen 77

Pravica do vložitve pritožbe pri nadzornem organu

1. Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2. Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.

Člen 78

Pravica do učinkovitega pravnega sredstva zoper nadzorni organ

1. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2. Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.

3. Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

4. Kadar je začet postopek zoper odločitev nadzornega organa, v zvezi s katero je odbor pred tem sprejel mnenje ali odločitev v okviru mehanizma za skladnost, nadzorni organ to mnenje ali odločitev posreduje sodišču.

Člen 79

Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca

1. Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.

2. Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri ima upravljavec ali obdelovalec sedež. Alternativno so za takšne postopke pristojna tudi sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec ali obdelovalec javni organ države članice, ki izvaja svoja javna pooblastila.

Člen 80

Zastopanje posameznikov, na katere se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.

2. Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.

Člen 81

Začasna ustavitev postopka

1. Kadar ima pristojno sodišče države članice informacije, da na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, stopi v stik z zadevnim sodiščem v drugi državi članici, da potrdi obstoj takega postopka.

2. Kadar na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, lahko katero koli pristojno sodišče, razen sodišča, pred katerim se je postopek najprej začel, začasno ustavi postopek.

3. Kadar ti postopki tečejo na sodiščih prve stopnje, se lahko katero koli sodišče, razen sodišča, pred katerim se je postopek najprej začel, na zahtevo ene od strank prav tako izreče za nepristojno, če je sodišče, pred katerim se je postopek najprej začel, pristojno za odločanje v zadevnih postopkih in če nacionalno pravo dovoljuje združitev postopkov.

Člen 82

Pravica do odškodnine in odgovornost

1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

4. Kadar so v isto obdelavo vključeni več kot en upravljavec ali obdelovalec ali sta vključena oba, upravljavec in obdelovalec in kadar so ti na podlagi odstavkov 2 in 3 odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo, da se zagotovi, da posameznik, na katerega se nanašajo osebni podatki, prejme učinkovito odškodnino.

5. Kadar je upravljavec ali obdelovalec v skladu z odstavkom 4 plačal celotno odškodnino za nastalo škodo, je ta upravljavec ali obdelovalec upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo v skladu s pogoji iz odstavka 2.

6. Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine so pristojna sodišča, ki so pristojna na podlagi prava države članice iz člena 79(2).

Člen 90

Obveznost varovanja skrivnosti

1. Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.

2. Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

whereas

(32) Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.
To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov.
Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.
Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene.
Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

- = -

(45) Kadar se obdelava izvaja v skladu s pravno obveznostjo, ki velja za upravljavca, ali kadar je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, bi morala imeti obdelava podlago v pravu Unije ali pravu države članice.
Ta uredba ne zahteva posebnega zakona za vsako posamezno obdelavo.
Zadosten je lahko zakon, ki je podlaga za več dejanj obdelave, ki temeljijo na pravni obveznosti, ki velja za upravljavca, ali za primere, ko je obdelava potrebna za izvajanje naloge v javnem interesu ali izvrševanje javne oblasti.
V pravu Unije ali pravu držav članic bi moral biti določen tudi namen obdelave.
Poleg tega bi bili lahko v navedenem pravu opredeljeni splošni pogoji iz te uredbe, ki urejajo zakonitost obdelave osebnih podatkov, določena natančnejša pravila za določitev upravljavca, vrst osebnih podatkov, ki se obdelujejo, zadevnih posameznikov, na katere se nanašajo osebni podatki, subjektov, katerim se osebni podatki lahko razkrijejo, omejitve namena, roka hranjenja in drugih ukrepov za zagotovitev zakonite in poštene obdelave.
Prav tako je naloga prava Unije ali prava držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, javni organ ali druga fizična ali pravna oseba, za katero velja javno pravo, ali, kadar to upravičuje javni interes, tudi v zdravstvene namene kot so javno zdravje in socialna zaščita ter upravljanje storitev zdravstvenega varstva, fizična ali pravna oseba, za katero velja zasebno pravo, kot na primer poklicno združenje.

- = -

(57) Če osebni podatki, ki jih obdeluje upravljavec, slednjemu ne omogočajo identifikacije posameznika, upravljavec podatkov ne bi smel biti zavezan pridobiti dodatnih informacij, da bi ugotovil identiteto posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.
Vendar pa upravljavec ne bi smel zavrniti dodatnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, predloži z namenom uresničevanja svojih pravic.
Identifikacija bi morala vključevati digitalno identifikacijo posameznika, na katerega se nanašajo osebni podatki, denimo, z mehanizmom avtentikacije, na primer da posameznik, na katerega se nanašajo osebni podatki, uporablja isto poverilnico za prijavo na spletne storitve, ki jo ponuja upravljavec podatkov.

- = -

(76) Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave.
Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

- = -

(103) Komisija lahko sklene – z učinkom za celotno Unijo –, da tretja država.
ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjo državo ali mednarodno organizacijo, za katero velja, da zagotavlja takšno raven varstva.
V takih primerih se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo opravijo brez potrebe po pridobitvi dodatnega dovoljenja.
Komisija lahko, potem ko tretjo državo ali mednarodno organizacijo obvesti in ji predloži celotno izjavo z navedbo razlogov, takšno odločitev tudi prekliče

- = -

(144) Kadar sodišče, pred katerim poteka postopek zoper odločitev nadzornega organa, utemeljeno meni, da v zvezi z enako obdelavo, kot je enaka vsebina, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, ali enaka podlaga za tožbo, predloži zadevo pristojnemu sodišču v drugi državi članici, bi moralo obvestiti zadevno sodišče, da se potrdi obstoj povezanih postopkov. Če povezani postopki potekajo pred sodiščem v drugi državi članici, lahko katero koli sodišče, razen sodišča, ki je prvo začelo postopek, zaustavi postopek ali na zahtevo ene od strank zavrne pristojnost v prid sodišča, ki je prvo začelo postopek, če je to sodišče pristojno za zadevne postopke in lahko v skladu s svojim pravom združi tako povezane postopke.
Postopki veljajo za povezane, kadar so med seboj tako tesno povezani, da se zdita njihova skupna obravnava in skupno odločanje o njih smiselna, da bi se izognili nevarnosti nezdružljivih sodb, ki bi izhajale iz ločenih postopkov.

- = -

dal 2004 diritto e informatica