interactive GDPR 2016/0679 SL

1. Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

2. Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)	v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)	s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V PEU;

(c)	s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti;

(d)	s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

3. Za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije se uporablja Uredba (ES) št. 45/2001. Uredba (ES) št. 45/2001 in drugi pravni akti Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, se prilagodijo načelom in pravilom iz te uredbe v skladu s členom 98.

4. Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti v uporabo pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

Člen 3

Ozemeljska veljavnost

1. Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.

2. Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane:

(a)	z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali

(b)	s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.

3. Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo države članice uporablja na podlagi mednarodnega javnega prava.

Člen 4

Opredelitev pojmov

V tej uredbi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 5

Načela v zvezi z obdelavo osebnih podatkov

1. Osebni podatki so:

(a)	obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c)	ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)	točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

(f)	obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati („odgovornost“).

Člen 6

Zakonitost obdelave

1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)	obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)	pravom Unije; ali

(b)	pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)	kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)	okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)	naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)	morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)	obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 7

Pogoji za privolitev

1. Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

4. Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

Člen 9

Obdelava posebnih vrst osebnih podatkov

1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)	obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)	obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3. Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

4. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

Člen 10

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 6(1) se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije ali pravo države članice, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Kakršni koli celoviti registri kazenskih obsodb se vodijo samo pod nadzorom uradnega organa.

Člen 12

Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1. Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2 Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. V primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3. Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4. Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

5. Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:

(a)	zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

(b)	zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6. Brez poseganja v člen 11 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 15 do 21, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7. Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 13 in 14 se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8. Komisija je v skladu s členom 92 pooblaščena za sprejemanje delegiranih aktov z namenom določitve informacije, ki se navedejo v standardiziranih ikonah, in postopkov za določitev standardiziranih ikon.

Oddelek 2

Informacije in dostop do osebnih podatkov

Člen 13

Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki

1. Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)	identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(f)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)	obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)	pravico do vložitve pritožbe pri nadzornem organu;

(e)	ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

(f)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4. Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 14

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo

1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

(a)	istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	vrste zadevnih osebnih podatkov;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)	obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(c)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(e)	pravico do vložitve pritožbe pri nadzornem organu;

(f)	od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

(g)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)	v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)	če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)	če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)	posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

(c)	je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)	morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.

Člen 17

Pravica do izbrisa („pravica do pozabe“)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)	osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)	posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)	posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d)	osebni podatki so bili obdelani nezakonito;

(e)	osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f)	osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3. Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)	za uresničevanje pravice do svobode izražanja in obveščanja;

(b)	za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)	iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

(d)	za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)	za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 18

Pravica do omejitve obdelave

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

(a)	posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;

(b)	je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

(c)	upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(d)	je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

2. Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.

3. Upravljavec, ki je dosegel omejitev obdelave v skladu z odstavkom 1, pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.

Člen 20

Pravica do prenosljivosti podatkov

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a)	obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1), in

(b)	se obdelava izvaja z avtomatiziranimi sredstvi.

2. Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.

3. Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 17. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4. Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 4

Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev

Člen 21

Pravica do ugovora

1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.

3. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

4. Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavkov 1 in 2 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

5. V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

6. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Člen 25

Vgrajeno in privzeto varstvo podatkov

1. Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2. Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3. Odobreni mehanizem potrjevanja v skladu s členom 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 27

Predstavniki upravljavcev ali obdelovalcev, ki nimajo sedeža v Uniji

1. Kadar se uporablja člen 3(2), upravljavec ali obdelovalec pisno določi predstavnika v Uniji.

2. Obveznost, določena v odstavku 1 tega člena, ne velja za:

(a)

obdelavo, ki je občasna in v velikem obsegu ne vključuje obdelave posebnih vrst podatkov iz člena 9(1) ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10 ter glede na njeno naravo, okoliščine, obseg in namene verjetno ne bo povzročila tveganja za pravice in svoboščine posameznikov, ali

(b)	javni organ ali telo.

3. Predstavnik ima sedež v eni od držav članic, kjer so posamezniki, na katere se nanašajo osebni podatki, katerih osebni podatki se obdelujejo v zvezi s ponujanjem blaga ali storitev tem posameznikom ali katerih vedenje se spremlja.

4. Z namenom zagotavljanja skladnosti s to uredbo upravljavec ali obdelovalec pooblasti predstavnika, ki ga lahko v zvezi z vsemi vprašanji, povezanimi z obdelavo, poleg upravljavca ali obdelovalca ali namesto njega kontaktirajo zlasti nadzorni organi in posamezniki, na katere se nanašajo osebni podatki.

5. Določitev predstavnika s strani upravljavca ali obdelovalca ne posega v pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca ali obdelovalca.

Člen 28

Obdelovalec

1. Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2. Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3. obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)	zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)	sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)	spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)	ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)	upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)	v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)	da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6. Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7. Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8. Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9. Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10. Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 32

Varnost obdelave

1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)	psevdonimizacijo in šifriranjem osebnih podatkov;

(b)	zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)	zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)	postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja zahtev iz odstavka 1 tega člena.

4. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 36

Predhodno posvetovanje

1. Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

2. Kadar nadzorni organ meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, nadzorni organ v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler nadzorni organ ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3. Pri posvetovanju z nadzornim organom v skladu z odstavkom 1 upravljavec nadzornemu organu predloži:

(a)	kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

(b)	namene in sredstva predvidene obdelave;

(c)	ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)	kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)	oceno učinka v zvezi z varstvom podatkov iz člena 35 in

(f)	vsakršne druge informacije, ki jih zahteva nadzorni organ.

4. Države članice se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, posvetujejo z nadzornim organom.

5. Ne glede na odstavek 1 lahko pravo države članice od upravljavcev zahteva, naj se posvetujejo z nadzornim organom in od njega prejmejo predhodno dovoljenje v zvezi z obdelavo s strani upravljavca z namenom izvajanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo v zvezi s socialnim varstvom in javnim zdravjem.

Oddelek 4

Pooblaščena oseba za varstvo podatkov

Člen 37

Imenovanje pooblaščene osebe za varstvo podatkov

1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a)	obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

2. Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

3. Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.

7. Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 38

Položaj pooblaščene osebe za varstvo podatkov

1. Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2. Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3. Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.

5. Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.

6. Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

Člen 39

Naloge pooblaščene osebe za varstvo podatkov

1. Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

(a)	obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b)

spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)	svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d)	sodelovanje z nadzornim organom;

(e)	delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

2. Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave.

Oddelek 5

Kodeksi ravnanja in potrjevanje

Člen 40

Kodeksi ravnanja

1. Države članice, nadzorni organi, odbor in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.

2. Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:

(a)	poštene in pregledne obdelave;

(b)	zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;

(c)	zbiranje osebnih podatkov;

(d)	psevdonimizacije osebnih podatkov;

(e)	obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;

(f)	uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;

(g)	obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;

(h)	ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;

(i)	uradno obveščanje nadzornih organov o kršitvah varstva osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;

(j)	prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali

(k)	izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

3. Poleg tega, da so h kodeksom ravnanja, ki so bili odobreni v skladu z odstavkom 5 tega člena in so splošno veljavni v skladu z odstavkom 9 tega člena, zavezani upravljavci ali obdelovalci, za katere se uporablja ta uredba, se k njim lahko zavežejo tudi upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, da se zagotovijo ustrezni zaščitni ukrepi v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (e) člena 46(2). Taki upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, vključno glede pravic posameznikov, na katere se nanašajo osebni podatki.

4. Kodeks ravnanja iz odstavka 2 tega člena vsebuje mehanizme, ki organu iz člena 41(1) omogočajo izvajanje obveznega spremljanja skladnosti z njegovimi določbami s strani upravljavcev ali obdelovalcev, ki se zavežejo k njegovi uporabi, brez poseganja v naloge in pooblastila nadzornih organov, pristojnih v skladu s členom 55 ali 56.

5. Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.

6. Kadar se osnutek kodeksa, sprememba ali razširitev odobri v skladu z odstavkom 5 in kadar se zadevni kodeks ravnanja ne nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ kodeks registrira in objavi.

7. Kadar se osnutek kodeksa ravnanja nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ, ki je pristojen v skladu s členom 55, pred odobritvijo osnutka kodeksa, spremembe ali razširitve predloži v postopek iz člena 63 odboru, ki poda mnenje o tem, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo oziroma v primeru iz odstavka 3 tega člena zagotavlja ustrezne zaščitne ukrepe.

8. Kadar mnenje iz odstavka 7 potrdi, da so osnutek kodeksa, spremembo ali razširitev skladni s to uredbo ali v primeru iz odstavka 3 zagotavljajo ustrezne zaščitne ukrepe, odbor svoje mnenje predloži Komisiji.

9. Komisija lahko z izvedbenimi akti sklene, da so odobren kodeks ravnanja, sprememba ali razširitev, ki so ji bili predloženi na podlagi odstavka 8 tega člena, v Uniji splošno veljavni. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

10. Komisija zagotovi ustrezno objavo odobrenih kodeksov, za katere je v skladu z odstavkom 9 sklenila, da so splošno veljavni.

11. Odbor zbira vse odobrene kodekse ravnanja, spremembe in razširitve v registru in jih objavi na ustrezne načine.

Člen 41

Spremljanje odobrenih kodeksov ravnanja

1. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja organ, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen pooblastil pristojni nadzorni organ.

2. Organ iz odstavka 1 se lahko pooblasti za spremljanje skladnosti s kodeksom ravnanja, kadar je ta organ:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazal neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)	vzpostavil postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)	vzpostavil postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)	pristojnemu nadzornemu organu zadovoljivo dokazal, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3. Pristojni nadzorni organ osnutek meril za pooblastitev organa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII organ iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5. Pristojni nadzorni organ organu iz odstavka 1 pooblastilo prekliče, če pogoji za pooblastitev niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ, kršijo to uredbo.

6. Ta člen se ne uporablja za obdelavo, ki jo izvajajo javni organi in telesa.

Člen 42

Potrjevanje

1. Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov za dokazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Upoštevajo se posebne potrebe mikro, malih in srednjih podjetij.

2. Poleg tega, da se mehanizmi potrjevanja, pečate ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za dokazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2). Takšni upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3. Potrjevanje je prostovoljno in se zagotavlja v okviru postopka, ki je pregleden.

4. Potrdilo v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5. Potrdilo v skladu s tem členom izdajo organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno potrjevanje, evropski pečat za varstvo podatkov.

6 Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem potrjevanja, organu za potrjevanje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka potrjevanja.

7. Potrdilo se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, potrdilo prekličejo, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.

8. Odbor zbira v registru vse mehanizme potrjevanja ter pečate in označbe za varstvo podatkov in jih objavi na kakšne koli ustrezne načine.

Člen 47

Zavezujoča poslovna pravila

1. Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:

(a)	so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;

(b)	posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter

(c)	izpolnjujejo zahteve iz odstavka 2.

2. Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:

(a)	strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;

(b)	prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;

(c)	njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;

(g)	kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;

(h)

naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;

(i)	pritožbene postopke;

(j)

mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;

(k)	mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;

(l)	mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);

(m)	mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in

(n)	ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.

3. Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 51

Nadzorni organ

1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).

2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3. Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki zadevne organe zastopa v odboru, in vzpostavi mehanizem, s katerim zagotovi, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 63.

4. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, do 25. maja 2018, in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 55

Pristojnost

1. Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.

2. Kadar obdelavo izvajajo javni organi ali zasebna telesa, ki delujejo na podlagi točke (c) ali (e) člena 6(1), je pristojen nadzorni organ zadevne države članice. V takih primerih se člen 56 ne uporablja.

3. Nadzorni organi niso pristojni za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ.

Člen 56

Pristojnosti vodilnega nadzornega organa

1. Nadzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.

2. Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.

3. Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.

4. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).

5. Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.

6. Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.

Člen 57

Naloge

1. Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)	spremlja in zagotavlja uporabo te uredbe;

(b)	spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)	v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)	spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(e)	vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)	sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

(h)	izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(i)	spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(j)	sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

(k)	vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(l)	svetuje glede dejanj obdelave iz člena 36(2);

(m)	spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

(n)	spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila potrjevanja v skladu s členom 42(5);

(o)	kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)	oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)	opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(r)	odobri pogodbena določila in določbe iz člena 46(3);

(s)	odobri zavezujoča poslovna pravila v skladu s členom 47;

(t)	prispeva k dejavnostim odbora;

(u)	hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

(v)	opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

2. Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3. Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.

4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 58

Pooblastila

1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a)	da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)	da izvaja preiskave v obliki pregledov na področju varstva podatkov;

(c)	da izvaja preglede potrdil, izdanih v skladu s členom 42(7);

(d)	da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(e)	da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(f)	da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

2. Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

(a)	da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)	da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)	da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d)	da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(e)	da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(f)	da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(g)	da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(h)	da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;

(i)	da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

(j)	da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

3. Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)	da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

(b)	da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(c)	da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

(d)	da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

(e)	da pooblasti organe za potrjevanje v skladu s členom 43;

(f)	da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);

(g)	da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

(h)	da odobri pogodbena določila iz točke (a) člena 46(3);

(i)	da odobri upravne dogovore iz točke (b) člena 46(3);

(j)	da odobri zavezujoča poslovna pravila v skladu s členom 47.

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6. Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.

Člen 60

Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi

1. Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.

2. Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem s sedežem v drugi državi članici.

3. Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.

4. Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.

5. Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.

6. Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.

7. Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in odboru. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.

8. Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.

9. Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. Vodilni nadzorni organ sprejme odločitev o delu, ki se nanaša na ukrepe, povezane z upravljavcem, o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca na ozemlju države članice, za katero je pristojen, sporoči pa jo tudi pritožniku, nadzorni organ pritožnika pa sprejme odločitev o delu, ki se nanaša na zavržbo ali zavrnitev pritožbe, in o njej uradno obvesti zadevnega pritožnika, sporoči pa jo tudi upravljavcu ali obdelovalcu.

10. Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih sedežev v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.

11. V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.

12. Vodilni nadzorni organ in drugi zadevni nadzorni organi drug drugemu z elektronskimi sredstvi posredujejo zahtevane informacije iz tega člena v standardizirani obliki.

Člen 71

Poročila

1. Odbor pripravi letno poročilo o varstvu posameznikov v zvezi z obdelavo v Uniji ter po potrebi tretjih državah in mednarodnih organizacijah. Poročilo se objavi in posreduje Evropskemu parlamentu, Svetu in Komisiji.

2. Letno poročilo vključuje pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (l) člena 70(1) ter zavezujočih odločitev iz člena 65.

Člen 81

Začasna ustavitev postopka

1. Kadar ima pristojno sodišče države članice informacije, da na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, stopi v stik z zadevnim sodiščem v drugi državi članici, da potrdi obstoj takega postopka.

2. Kadar na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, lahko katero koli pristojno sodišče, razen sodišča, pred katerim se je postopek najprej začel, začasno ustavi postopek.

3. Kadar ti postopki tečejo na sodiščih prve stopnje, se lahko katero koli sodišče, razen sodišča, pred katerim se je postopek najprej začel, na zahtevo ene od strank prav tako izreče za nepristojno, če je sodišče, pred katerim se je postopek najprej začel, pristojno za odločanje v zadevnih postopkih in če nacionalno pravo dovoljuje združitev postopkov.

Člen 82

Pravica do odškodnine in odgovornost

1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

4. Kadar so v isto obdelavo vključeni več kot en upravljavec ali obdelovalec ali sta vključena oba, upravljavec in obdelovalec in kadar so ti na podlagi odstavkov 2 in 3 odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo, da se zagotovi, da posameznik, na katerega se nanašajo osebni podatki, prejme učinkovito odškodnino.

5. Kadar je upravljavec ali obdelovalec v skladu z odstavkom 4 plačal celotno odškodnino za nastalo škodo, je ta upravljavec ali obdelovalec upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo v skladu s pogoji iz odstavka 2.

6. Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine so pristojna sodišča, ki so pristojna na podlagi prava države članice iz člena 79(2).

Člen 85

Obdelava ter svoboda izražanja in obveščanja

1. Države članice z zakonom usklajujejo pravico do varstva osebnih podatkov na podlagi te uredbe s pravico do svobode izražanja in obveščanja, vključno z obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja.

2. Za obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja države članice določijo izjeme ali odstopanja od poglavja II (načela), poglavja III (pravice posameznika, na katerega se nanašajo osebni podatki), poglavja IV (upravljavec in obdelovalec), poglavja V (prenos osebnih podatkov v tretje države ali mednarodne organizacije), poglavja VI (neodvisni nadzorni organi), poglavja VII (sodelovanje in skladnost) in poglavja IX (posebni primeri obdelave podatkov), če so potrebni za uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja.

3. Vsaka država članica Komisijo uradno obvesti o določbah zakonov, ki jih sprejme v skladu z odstavkom 2, brez odlašanja pa tudi o vsakršni naknadni spremembi teh predpisov ali spremembah, ki nanje vplivajo.

Člen 87

Obdelava nacionalne identifikacijske številke

Države članice lahko dodatno določijo posebne pogoje za obdelavo nacionalne identifikacijske številke ali katerega koli drugega identifikatorja, ki se splošno uporablja. V tem primeru se nacionalna identifikacijska številka ali kateri koli drug identifikator, ki se splošno uporablja, uporablja le z ustreznimi zaščitnimi ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.

Člen 88

Obdelava v okviru zaposlitve

1. Države članice lahko v zakonu ali kolektivnih pogodbah določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, varstva lastnine zaposlenih ali potrošnikov in za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

2. Ta pravila vključujejo ustrezne in posebne ukrepe za zaščito človeškega dostojanstva, zakonitih interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, s posebnim poudarkom na preglednosti obdelave, prenosu osebnih podatkov v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ter sistemih spremljanja na delovnem mestu.

3. Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme v skladu z odstavkom 1, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 89

Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

1. Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo podatki, se ti nameni uresničijo na ta način.

2. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

3. Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18, 19, 20 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, če bi takšne pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4. Kadar vrsta obdelave iz odstavkov 2 in 3 hkrati izpolnjuje tudi drug namen, se dovoljena odstopanja uporabijo le za obdelavo v namene iz navedenih odstavkov.

Člen 95

Razmerje z Direktivo 2002/58/ES

Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.

whereas

(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah.
V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov.
Kar zadeva obdelavo osebnih podatkov z namenom izpolnjevanja pravne obveznosti, za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu, bi moralo biti državam članicam dovoljeno ohraniti ali uvesti nacionalne določbe za podrobnejšo opredelitev uporabe pravil iz te uredbe.
Države članice so v povezavi s splošnim in horizontalnim pravom o varstvu podatkov, s katerim se izvaja Direktiva 95/46/ES, sprejele več področnih zakonov na področjih, kjer so potrebne podrobnejše določbe.
Tudi ta uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov („občutljivi podatki“).
V tem obsegu ta uredba ne izključuje prava držav članic, s katerim so opredeljene okoliščine posebnih primerov obdelave, vključno s podrobnejšo določitvijo pogojev, pod katerimi je obdelava osebnih podatkov zakonita.

- = -

(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.

- = -

(14) Varstvo, zagotovljeno s to uredbo, bi se moralo uporabljati za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče.
Ta uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe.

- = -

(15) Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik.
Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke.
Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

- = -

(16) Ta uredba se ne uporablja za vprašanja varstva temeljnih pravic in svoboščin ali prostega pretoka osebnih podatkov, povezana z dejavnostmi, ki ne spadajo na področje uporabe prava Unije, kot so dejavnosti v zvezi z nacionalno varnostjo.
Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije.

- = -

(17) Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije.
Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v tej uredbi, in jih uporabljati ob upoštevanju te uredbe.
Za zagotovitev trdnega in usklajenega okvira varstva podatkov v Uniji bi bilo treba po sprejetju te uredbe prilagoditi tudi Uredbo (ES) št. 45/2001, da bi se lahko začela uporabljati sočasno s to uredbo.

- = -

(18) Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo.
Osebne ali domače dejavnosti bi lahko vključevale korespondenco in seznam naslovov ali dejavnosti na socialnih omrežjih in na spletu v okviru tovrstnih dejavnosti.
Ta uredba pa se uporablja za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

- = -

(19) Varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter prosti pretok takih podatkov je urejeno v posebnem pravnem aktu Unije.
Ta uredba se zato ne bi smela uporabljati za dejavnosti obdelave v navedene namene.
Vendar pa bi moral obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za navedene namene, urejati bolj poseben pravni akt Unije, in sicer Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (7).
Države članice lahko pristojnim organom v smislu Direktive (EU) 2016/680 zaupajo naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada na področje uporabe prava Unije, spada na področje uporabe te uredbe.

- = -

(20) Ker se ta uredba med drugim uporablja za dejavnosti sodišč in drugih pravosodnih organov, bi lahko v pravu Unije ali pravu držav članic podrobneje določili dejanja obdelave in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov.
Pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodstva pri opravljanju sodnih nalog, vključno z odločanjem.
Omogočeno bi moralo biti, da se nadzor takih dejanj obdelave podatkov zaupa posebnim organom v okviru sodnega sistema države članice, ki naj bi zlasti zagotovili upoštevanje pravil te uredbe, izboljšali ozaveščenost delavcev v sodstvu glede njihovih obveznosti na podlagi te uredbe in obravnavali pritožbe v zvezi s takimi dejanji obdelave podatkov.

- = -

(23) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi se morala za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, uporabljati ta uredba, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ne glede na to, ali so povezane s plačilom.
Za ugotovitev, ali tak upravljavec ali obdelovalec nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki so v Uniji, bi bilo treba ugotoviti, ali je jasno, da namerava upravljavec ali obdelovalec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije.
Medtem ko sama dostopnost spletne strani upravljavca, obdelovalca ali posrednika v Uniji, elektronskega naslova ali drugih kontaktnih podatkov ali uporaba jezika, ki se na splošno uporablja v tretji državi, v kateri ima upravljavec sedež, ne zadošča za ugotovitev takšnega namena, se lahko z dejavniki, kot so uporaba jezika ali valute, ki se na splošno uporablja v eni ali več državah članicah, z možnostjo naročanja blaga in storitev v tem drugem jeziku, ali navedba strank ali uporabnikov, ki so v Uniji, jasno pokaže, da želi upravljavec nuditi blago ali storitve posameznikom, na katere se nanašajo osebni podatki, v Uniji.

- = -

(24) Za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, bi se prav tako morala uporabljati ta uredba, kadar je obdelava povezana s spremljanjem vedenja takih posameznikov, na katere se nanašajo osebni podatki, kolikor njihovo vedenje poteka v Uniji.
Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da spremlja vedenje posameznikov, na katere se nanašajo osebni podatki, bi bilo treba ugotoviti, ali se posameznikom sledi na internetu, kar vključuje morebitno naknadno uporabo tehnik obdelave osebnih podatkov, ki obsegajo oblikovanje profila posameznika, zlasti z namenom sprejemanja odločitev o njem oziroma za analiziranje ali predvidevanje njegovega osebnega okusa in vedenja.

- = -

(27) Ta uredba se ne uporablja za osebne podatke umrlih oseb.
Države članice lahko določijo pravila za obdelavo osebnih podatkov umrlih oseb.

- = -

(29) Za spodbuditev uporabe psevdonimizacije pri obdelavi osebnih podatkov bi bilo treba zagotoviti, da se v okviru istega upravljavca lahko hkrati sprejmejo ukrepi za psevdonimizacijo in opravi splošna analiza, če je ta upravljavec sprejel potrebne tehnične in organizacijske ukrepe za zagotovitev, da se v zvezi z zadevno obdelavo izvaja ta uredba in da se dodatne informacije, na podlagi katerih se osebni podatki lahko pripišejo določenemu posamezniku, na katerega se nanašajo osebni podatki, hranijo ločeno.
Upravljavec, ki obdeluje osebne podatke, bi moral navesti pooblaščene osebe v okviru istega upravljavca.

- = -

(32) Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.
To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov.
Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.
Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene.
Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

- = -

(36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež.
Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev.
To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju.
Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež.
Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji.
V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi.
Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca.
Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.

- = -

(38) Otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov.
Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku.
Privolitev nosilca starševske odgovornosti ne bi smela biti potrebna v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku.

- = -

(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena.
Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni.
Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku.
To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi.
Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo.
Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov.
Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje.
Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi.
Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.
Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov.
Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

- = -

(43) Za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te specifične situacije.
Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi taka ločena privolitev bila v posameznem primeru ustrezna, ali če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za zadevno izvajanje taka privolitev ne bi bila potrebna.

- = -

(45) Kadar se obdelava izvaja v skladu s pravno obveznostjo, ki velja za upravljavca, ali kadar je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, bi morala imeti obdelava podlago v pravu Unije ali pravu države članice.
Ta uredba ne zahteva posebnega zakona za vsako posamezno obdelavo.
Zadosten je lahko zakon, ki je podlaga za več dejanj obdelave, ki temeljijo na pravni obveznosti, ki velja za upravljavca, ali za primere, ko je obdelava potrebna za izvajanje naloge v javnem interesu ali izvrševanje javne oblasti.
V pravu Unije ali pravu držav članic bi moral biti določen tudi namen obdelave.
Poleg tega bi bili lahko v navedenem pravu opredeljeni splošni pogoji iz te uredbe, ki urejajo zakonitost obdelave osebnih podatkov, določena natančnejša pravila za določitev upravljavca, vrst osebnih podatkov, ki se obdelujejo, zadevnih posameznikov, na katere se nanašajo osebni podatki, subjektov, katerim se osebni podatki lahko razkrijejo, omejitve namena, roka hranjenja in drugih ukrepov za zagotovitev zakonite in poštene obdelave.
Prav tako je naloga prava Unije ali prava držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, javni organ ali druga fizična ali pravna oseba, za katero velja javno pravo, ali, kadar to upravičuje javni interes, tudi v zdravstvene namene kot so javno zdravje in socialna zaščita ter upravljanje storitev zdravstvenega varstva, fizična ali pravna oseba, za katero velja zasebno pravo, kot na primer poklicno združenje.

- = -

(47) Zakoniti interesi upravljavca, tudi upravljavca, ki se mu osebni podatki lahko razkrijejo, ali tretje osebe lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca.
Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj.
V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen.
Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave.
Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo osebnih podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog.
Tudi obdelava osebnih podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes zadevnega upravljavca podatkov.
Obdelava osebnih podatkov za neposredno trženje se lahko šteje za opravljeno v zakonitem interesu.

- = -

(48) Upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.
To ne vpliva na splošna načela znotraj povezane družbe glede prenosa osebnih podatkov družbi v tretji državi.

- = -

(50) Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani.
V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije ali pravom držav članic.
Nadaljnja obdelava v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave.
Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije ali pravom držav članic, je lahko tudi pravna podlaga za nadaljnjo obdelavo.
Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

- = -

(51) Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine.
Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras.
Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika.
Takšni osebni podatki se ne bi smeli obdelovati, razen če je obdelava dovoljena v posebnih primerih iz te uredbe, pri čemer je treba upoštevati, da se lahko v pravu držav članic opredelijo posebne določbe o varstvu podatkov, s katerimi se prilagodi uporaba pravil iz te uredbe zaradi izpolnjevanja pravne obveznosti ali zaradi izvajanja naloge v javnem interesu ali izvajanja javne oblasti, dodeljene upravljavcu.
Poleg posebnih zahtev za takšno obdelavo bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave.
Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočiti uresničevanje temeljnih svoboščin.

- = -

(52) Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje.
Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva, ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Odstopanje bi prav tako moralo veljati za obdelavo takih osebnih podatkov, kadar je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v sodnem postopku ali v upravnem ali izvensodnem postopku.

- = -

(53) Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva, vključno z obdelavo takšnih podatkov s strani uprave in osrednjih nacionalnih zdravstvenih organov zaradi nadzora kakovosti, upravljanja informacij ter splošnega nacionalnega in lokalnega nadzora sistema zdravstvenega ali socialnega varstva, ter zagotavljanja neprekinjenosti zdravstvenega ali socialnega varstva in čezmejnega zdravstvenega varstva ali zaradi zdravstvene varnosti, spremljanja in opozarjanja ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije ali prava držav članic, ki mora izpolnjevati cilj javnega interesa, pa tudi v okviru študij v javnem interesu, ki se izvajajo na področju javnega zdravja.
Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti.
V pravu Unije ali pravu držav članic bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov.
Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju.
To pa ne bi smelo ovirati prostega pretoka osebnih podatkov v Uniji, kadar ti pogoji veljajo za čezmejno obdelavo takih podatkov.

- = -

(54) Obdelava posebnih vrst osebnih podatkov je lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki.
Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov.
V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljen v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta (11), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti.
Zaradi take obdelave podatkov v zvezi z zdravjem iz razlogov javnega interesa tretje osebe, kot so delodajalci ali zavarovalnice in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene.

- = -

(61) Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera.
Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku.
Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije.
Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

- = -

(63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost.
To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi.
Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave.
Kadar je mogoče, bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov.
Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo.
To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij.
Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

- = -

(65) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca.
Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zlasti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo.
Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta.
Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok.
Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

- = -

(67) Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale začasni prenos izbranih podatkov v drug sistem za obdelavo, preprečitev dostopnosti izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletne strani.
Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi na način, da se osebni podatki nadalje več ne obdelujejo in jih ni mogoče spremeniti.
Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v zbirki.

- = -

(68) Da bi še dodatno okrepili nadzor nad lastnimi podatki, kadar se obdelava osebnih podatkov izvaja z avtomatskimi sredstvi, bi moral posameznik, na katerega se nanašajo osebni podatki, imeti tudi možnost, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani, strojno berljivi in interoperabilni obliki in jih posreduje drugemu upravljavcu.
Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov.
Ta pravica bi morala veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, te podatke zagotovil na podlagi svoje privolitve ali kadar je obdelava potrebna za izvajanje pogodbe.
Ne bi pa smela veljati, kadar obdelava temelji na pravni osnovi, ki ni privolitev ali pogodba.
Ta pravica se po svoji naravi ne bi smela uveljavljati zoper upravljavce, ki obdelujejo osebne podatke v okviru svojih nalog v javnem interesu.
Zato ne bi smela veljati, kadar je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu.
Pravica posameznika, na katerega se nanašajo osebni podatki, do posredovanja ali prejemanja osebnih podatkov v zvezi z njim ne bi smela ustvariti obveznosti za upravljavca, da mora sprejeti ali vzdrževati sisteme za obdelavo, ki so tehnično združljivi.
Kadar določeni niz osebnih podatkov zadeva več kot enega posameznika, na katerega se ti podatki nanašajo, pravica do prejemanja osebnih podatkov ne bi smela posegati v pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo.
Poleg tega ta pravica ne bi smela posegati v pravico posameznika, na katerega se nanašajo osebni podatki, da zahteva izbris osebnih podatkov, in v omejitve te pravice, kakor je določeno v tej uredbi, zlasti pa ne bi smela pomeniti izbrisa osebnih podatkov, ki jih je posameznik, na katerega se ti nanašajo, zagotovil za izvajanje pogodbe, in sicer kolikor in dokler so osebni podatki potrebni za izvajanje te pogodbe.
Kadar je to tehnično izvedljivo, bi posameznik, na katerega se nanašajo osebni podatki, moral imeti pravico doseči, da se osebni podatki prenesejo neposredno od enega upravljavca k drugemu.

- = -

(71) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so avtomatska zavrnitev spletne prošnje za posojilo ali prakse zaposlovanja prek spleta brez človekovega posredovanja.
Taka obdelava vključuje „oblikovanje profilov“ v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva.
Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Unije ali pravo države članice, ki velja za upravljavca, tudi za namene spremljanja in preprečevanja zlorab in davčnih utaj v skladu s predpisi, standardi in priporočili institucij Unije ali nacionalnih nadzornih teles ter zagotavljanje varnosti in zanesljivosti storitve, ki jo zagotavlja upravljavec, ali kadar je to nujno za sklepanje ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, ali kadar je posameznik, na katerega se nanašajo osebni podatki, v to izrecno privolil.
V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve.
Taki ukrepi ne bi smeli zadevati otroka.

- = -

(72) Za samo oblikovanje profilov veljajo pravila iz te uredbe, ki urejajo obdelavo osebnih podatkov, na primer pravna podlaga za obdelavo ali načela varstva podatkov.
Evropski odbor za varstvo podatkov, ustanovljen s to uredbo (v nadaljnjem besedilu: odbor), bi moral imeti možnost, da o tem izda smernice.

- = -

(77) Usmerjanje izvajanja ustreznih ukrepov in dokazovanja skladnosti s strani upravljavca ali obdelovalca, zlasti kar zadeva opredelitev tveganja, povezanega z obdelavo, njegovo oceno v smislu izvora, narave, verjetnosti in resnosti ter opredelitev najboljših praks za ublažitev tveganja, bi se lahko zagotovilo zlasti z odobrenimi kodeksi ravnanja, odobrenimi postopki potrjevanja, smernicami, ki bi jih zagotovil odbor, ali navodili pooblaščene osebe za varstvo podatkov.
Odbor lahko izda tudi smernice za dejanja obdelave, za katere ni verjetno, da bi povzročila veliko tveganje za pravice in svoboščine posameznikov, in navede, kateri ukrepi bi v takih primerih morda zadostovali za obravnavanje takega tveganja.

- = -

(78) Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti ustrezne tehnične in organizacijske ukrepe, da bi zagotovili izpolnitev zahtev iz te uredbe.
Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov.
Ti ukrepi bi med drugim lahko vključevali minimizacijo obdelave osebnih podatkov, čimprejšnjo psevdonimizacijo osebnih podatkov, preglednost pri nalogah in obdelavi osebnih podatkov, omogočanje posameznikom, na katere se nanašajo osebni podatki, da spremljajo obdelavo podatkov, in omogočanje upravljavcu, da vzpostavi in izboljša varnostne ukrepe.
Pri razvoju, oblikovanju, izboru in uporabi aplikacij, storitev in produktov, ki temeljijo na obdelavi osebnih podatkov ali ki pri opravljanju svoje funkcije obdelujejo osebne podatke, bi bilo treba proizvajalce produktov, storitev in aplikacij spodbujati, da pri razvoju in oblikovanju takih produktov, storitev in aplikacij upoštevajo pravico do varstva podatkov ter ob ustreznem upoštevanju najnovejšega tehnološkega razvoja, zagotovijo, da so upravljavci in obdelovalci zmožni izpolnjevati svoje obveznosti varstva podatkov.
Načeli vgrajenega in privzetega varstva podatkov bi morali biti upoštevani tudi pri javnih razpisih.

- = -

(81) Za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, bi moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave.
Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot dokaz za izpolnjevanje obveznosti upravljavca.
obdelavo s strani obdelovalca bi morala urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki bi določal obveznosti obdelovalca do upravljavca ter določal vsebino in trajanje obdelave, naravo in namene obdelave, vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, ob upoštevanju posebnih nalog in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.
Upravljavec in obdelovalec se lahko odločita za uporabo individualne pogodbe ali standardnih pogodbenih določil, ki jih sprejme bodisi neposredno Komisija bodisi nadzorni organ v skladu z mehanizmom za skladnost, nato pa jih sprejme Komisija.
Po zaključku obdelave v imenu upravljavca bi moral obdelovalec v skladu z odločitvijo upravljavca vrniti ali izbrisati osebne podatke, razen v primeru zahteve za shranitev osebnih podatkov v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca.

- = -

(83) Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje.
Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati.
Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

- = -

(84) Za povečanje skladnosti s to uredbo, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov, da bi ocenili predvsem izvor, naravo, posebnost in resnost tega tveganja.
Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu s to uredbo.
Kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z nadzornim organom.

- = -

(90) V takih primerih bi moral upravljavec pred obdelavo izvesti oceno učinka v zvezi z varstvom podatkov, da bi se ocenili posebna verjetnost in resnost velikega tveganja, pri čemer bi upoštevali naravo, obseg, okoliščine in namene obdelave ter izvor tveganja.
Ta ocena učinka pa bi morala obsegati zlasti ukrepe, zaščitne ukrepe in mehanizme, ki so načrtovani za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to uredbo.

- = -

(91) To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic.
Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih.
Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu.
Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika.
V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

- = -

(92) V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka v zvezi z varstvom podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi ali telesa vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno okolje za uporabo ali obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

- = -

(94) Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z nadzornim organom.
Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar lahko povzroči tudi škodo za pravice in svoboščine posameznika ali poseg vanje.
Nadzorni organ bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju.
Vendar odsotnost odziva nadzornega organa v tem obdobju ne bi smela posegati v kakršno koli posredovanje tega organa v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave.
Rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, se lahko kot del tega postopka posvetovanja predloži nadzornemu organu, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

- = -

(97) Kadar obdelavo izvaja javni organ, razen sodišč ali neodvisnih pravosodnih organov, kadar delujejo kot sodni organi, ali kadar v zasebnem sektorju obdelavo izvaja upravljavec, katerega temeljne dejavnosti obsegajo dejanja obdelave, ki zahtevajo obsežno redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami in prekrški, bi morala upravljavcu ali obdelovalcu pri spremljanju notranje skladnosti s to uredbo pomagati oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks.
V zasebnem sektorju se temeljne dejavnosti upravljavca nanašajo na njegove osnovne dejavnosti in ne na obdelavo osebnih podatkov kot postranske dejavnosti.
Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedena dejanja obdelave podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca ali obdelovalca.
Taka pooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

- = -

(105) Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti.
Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28.
januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji.
Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z odborom.

- = -

(108) Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, na podlagi katerih pomanjkanje varstva podatkov v tretji državi nadomestijo z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki.
Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ.
S temi zaščitnimi ukrepi bi bilo treba zagotoviti skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj Unije, vključno z razpoložljivostjo izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, in učinkovitih pravnih sredstev, tudi pravico do učinkovitega upravnega ali sodnega varstva ali odškodnine, v Uniji ali tretji državi.
Nanašati bi se morali zlasti na skladnost s splošnimi načeli v zvezi z obdelavo osebnih podatkov ter načeli vgrajenega in prevzetega varstva podatkov.
Prenose z javnimi organi ali telesi v tretjih državah oziroma z mednarodnimi organizacijami z ustreznimi nalogami ali funkcijami lahko opravijo tudi javni organi ali telesa, tudi na podlagi določb, ki se vključijo v upravne dogovore, kot je memorandum o soglasju, s katerimi se zagotavljajo izvršljive in učinkovite pravice posameznikov, na katere se nanašajo osebni podatki.
Kadar so zaščitni ukrepi določeni v upravnih dogovorih, ki niso pravno zavezujoči, bi bilo treba pridobiti dovoljenje pristojnega nadzornega organa.

- = -

(122) Vsak nadzorni organ bi moral biti na ozemlju svoje države članice pristojen za izvajanje pooblastil in opravljanje nalog, ki so mu bile podeljene v skladu s to uredbo.
To bi moralo zajemati predvsem obdelavo v okviru dejavnosti sedeža upravljavca ali obdelovalca na ozemlju njegove države članice, obdelavo osebnih podatkov, ki jo izvajajo javni organi ali zasebna telesa, ki delujejo v javnem interesu, obdelavo, ki zadeva posameznike, na katere se nanašajo osebni podatki, na njegovem ozemlju, ali obdelavo, ki jo izvaja upravljavec ali obdelovalec, ki nima sedeža v Uniji, če obdelava zadeva posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njegovem ozemlju.
To bi moralo vključevati obravnavo pritožb, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, izvajanje preiskav o uporabi te uredbe ter spodbujanje ozaveščenosti javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov.

- = -

(127) Vsak nadzorni organ, ki ne deluje kot vodilni nadzorni organ, bi moral biti pristojen za obravnavanje lokalnih zadev, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, vsebina določene obdelave pa se nanaša le na obdelavo v eni državi članici in vključuje le posameznike, na katere se nanašajo osebni podatki, iz te države članice, na primer, kadar se vsebina nanaša na obdelavo osebnih podatkov o zaposlenih v okviru zaposlitve v posamezni državi članici.
V takih primerih bi moral nadzorni organ o tem brez odlašanja obvestiti vodilni nadzorni organ.
Vodilni nadzorni organ bi moral, potem ko je obveščen, odločiti, ali bo zadevo obravnaval v skladu z določbami o sodelovanju med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi (v nadaljnjem besedilu: mehanizem vse na enem mestu), oziroma ali bi moral zadevo na lokalni ravni obravnavati nadzorni organ, ki ga je o tem obvestil.
Vodilni nadzorni organ bi moral pri odločanju o tem, ali bo zadevo obravnaval, upoštevati, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, da bi zagotovili učinkovito izvrševanje odločitve do upravljavca ali obdelovalca.
Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, bi moral nadzorni organ, ki ga je o tem obvestil, imeti možnost predložiti osnutek odločitve, ki bi ga moral vodilni nadzorni organ v največji meri upoštevati pri pripravi svojega osnutka odločitve v okviru tega mehanizma vse na enem mestu.

- = -

(128) Pravila o vodilnem nadzornem organu in mehanizmu vse na enem mestu se ne bi smela uporabljati, kadar obdelavo izvajajo javni organi ali zasebna telesa v javnem interesu.
V takih primerih bi moral biti edini nadzorni organ, pristojen za izvajanje pooblastil, ki so mu bila podeljena v skladu s to uredbo, nadzorni organ države članice, v kateri je sedež zadevnega javnega organa ali zasebnega telesa.

- = -

(131) Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila.
To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

- = -

(144) Kadar sodišče, pred katerim poteka postopek zoper odločitev nadzornega organa, utemeljeno meni, da v zvezi z enako obdelavo, kot je enaka vsebina, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, ali enaka podlaga za tožbo, predloži zadevo pristojnemu sodišču v drugi državi članici, bi moralo obvestiti zadevno sodišče, da se potrdi obstoj povezanih postopkov. Če povezani postopki potekajo pred sodiščem v drugi državi članici, lahko katero koli sodišče, razen sodišča, ki je prvo začelo postopek, zaustavi postopek ali na zahtevo ene od strank zavrne pristojnost v prid sodišča, ki je prvo začelo postopek, če je to sodišče pristojno za zadevne postopke in lahko v skladu s svojim pravom združi tako povezane postopke.
Postopki veljajo za povezane, kadar so med seboj tako tesno povezani, da se zdita njihova skupna obravnava in skupno odločanje o njih smiselna, da bi se izognili nevarnosti nezdružljivih sodb, ki bi izhajale iz ločenih postopkov.

- = -

(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo.
Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo.
Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe.
To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice.
Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe.
Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.
Kadar so upravljavci ali obdelovalci vključeni v isto obdelavo, bi moral biti vsak upravljavec ali obdelovalec odgovoren za celotno škodo.
Kadar pa so upravljavci ali obdelovalci združeni v isti sodni postopek v skladu s pravom države članice, se lahko odškodnina porazdeli v skladu z odgovornostjo vsakega upravljavca ali obdelovalca za škodo, ki je bila povzročena zaradi obdelave, če je zagotovljeno, da posameznik, na katerega se nanašajo osebni podatki in ki je škodo utrpel, prejme celotno in učinkovito odškodnino.
Vsak upravljavec ali obdelovalec, ki je plačal celotno odškodnino, lahko naknadno začne postopek za povrnitev stroškov zoper druge upravljavce ali obdelovalce, vključene v isto obdelavo.

- = -

(153) Pravo držav članic bi moralo pravila, ki urejajo svobodo izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim in/ali književnim izražanjem, usklajevati s pravico do varstva osebnih podatkov v skladu s to uredbo.
Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi akademskega, umetniškega ali literarnega izražanja, bi se morala uporabiti odstopanja ali izjeme od nekaterih določb te uredbe, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja in obveščanja, kakor je določena v členu 11 Listine.
To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih.
Zato bi morale države članice sprejeti zakonodajne ukrepe, v katerih bi bile določene izjeme in odstopanja, potrebna za uravnoteženje teh temeljnih pravic.
Države članice bi morale take izjeme in odstopanja sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa osebnih podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov.
Kadar se take izjeme ali odstopanja po državah članicah razlikujejo, bi se moralo uporabiti pravo države članice, ki velja za upravljavca.
Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu.

- = -

(156) Pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.
S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov.
Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov).
Države članice bi morale zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Državam članicam bi bilo treba dovoliti, da pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene pod določenimi pogoji in ob zagotovitvi ustreznih zaščitnih ukrepov za posameznike, na katere se nanašajo osebni podatki, določijo natančnejšo ureditev in odstopanja v zvezi z zahtevami po informacijah ter pravice do popravka, do izbrisa, do pozabe, do omejitve obdelave, do prenosljivosti podatkov in do ugovora.
Zadevni pogoji in zaščitni ukrepi lahko zahtevajo posebne postopke za uresničevanje navedenih pravic posameznikov, na katere se nanašajo osebni podatki, če je to ustrezno glede na namene specifične obdelave, ter tehnične in organizacijske ukrepe, s katerimi bi čim bolj zmanjšali obdelavo osebnih podatkov zaradi spoštovanja načel sorazmernosti in potrebnosti.
Pri obdelavi osebnih podatkov v znanstvene namene bi bilo treba upoštevati tudi drugo zadevno zakonodajo, denimo o kliničnem preskušanju.

- = -

(158) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v namene arhiviranja, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.
Javni organi oziroma javna ali zasebna telesa, ki vodijo evidence v javnem interesu, bi morali biti službe, ki imajo v skladu s pravom Unije ali pravom držav članic pravno obveznost, da pridobijo, ohranijo, ocenijo, uredijo, opišejo, sporočajo, spodbujajo in razširjajo evidence, ki so trajnega pomena za splošen javni interes, ter zagotavljajo dostop do njih.
Državam članicam bi bilo treba tudi dovoliti, da določijo, da se lahko osebni podatki nadalje obdelujejo v namene arhiviranja, da se na primer zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, genocidom, hudodelstvom zoper človečnost, zlasti holokavstom, ali vojnimi zločini.

- = -

(159) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v znanstveno-raziskovalne namene.
Za namene te uredbe bi bilo treba obdelavo osebnih podatkov v znanstveno-raziskovalne namene razlagati široko, tako da vključuje tudi na primer tehnološki razvoj, predstavitvene dejavnosti, temeljne raziskave, uporabne raziskave in zasebno financirane raziskave.
Poleg tega bi bilo treba upoštevati cilj Unije iz člena 179(1) PDEU glede oblikovanja evropskega raziskovalnega prostora.
Znanstveno-raziskovalni nameni bi morali zajemati tudi študije, izvedene v javnem interesu na področju javnega zdravja.
Da bi upoštevali posebnosti obdelave osebnih podatkov v znanstveno-raziskovalne namene, bi morali veljati posebni pogoji, zlasti v zvezi z objavo ali drugim razkritjem osebnih podatkov v okviru znanstveno-raziskovalnih namenov. Če so na podlagi rezultatov znanstvenih raziskav, zlasti na področju zdravja, potrebni nadaljnji ukrepi v interesu posameznika, na katerega se nanašajo osebni podatki, bi se v zvezi s takšnimi ukrepi morala uporabljati splošna pravila iz te uredbe.

- = -

(160) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v zgodovinskoraziskovalne namene.
To bi moralo zajemati tudi zgodovinske raziskave in raziskave v genealoške namene, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.

- = -

(162) Če se osebni podatki obdelujejo v statistične namene, bi se morala za to obdelavo uporabljati ta uredba.
S pravom Unije ali pravom držav članic bi bilo treba v mejah te uredbe določiti statistično vsebino, nadzor dostopa, natančnejšo ureditev obdelave osebnih podatkov v statistične namene ter ustrezne ukrepe za varstvo pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in zagotovitev statistične zaupnosti. „Statistični nameni“ pomeni vsako dejanje zbiranja in obdelave osebnih podatkov, potrebno za statistične raziskave ali pripravo statističnih rezultatov.
Ti statistični rezultati se lahko nadalje uporabijo v različne namene, tudi v znanstveno-raziskovalne namene. „Statistični namen“ pomeni, da rezultati obdelave v statistične namene niso osebni podatki, temveč zbirni podatki, ter da se ti rezultati ali osebni podatki ne uporabijo v podporo ukrepov ali odločitev v zvezi z določenim posameznikom.

- = -

(171) S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES.
obdelavo, ki se že izvaja na dan uporabe te uredbe, bi bilo treba uskladiti s to uredbo v roku dveh let po začetku veljavnosti te uredbe.
Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.
Odločitve, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in dovoljenja s strani nadzornih organov so veljavni, dokler se ne spremenijo, nadomestijo ali prekličejo.

- = -

dal 2004 diritto e informatica