interactive GDPR 2016/0679 SL

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 6

Zakonitost obdelave

1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)	obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)	pravom Unije; ali

(b)	pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)	kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)	okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)	naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)	morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)	obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 26

Skupni upravljavci

1. Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2. Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3. Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 37

Imenovanje pooblaščene osebe za varstvo podatkov

1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a)	obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

2. Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

3. Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.

7. Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 41

Spremljanje odobrenih kodeksov ravnanja

1. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja organ, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen pooblastil pristojni nadzorni organ.

2. Organ iz odstavka 1 se lahko pooblasti za spremljanje skladnosti s kodeksom ravnanja, kadar je ta organ:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazal neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)	vzpostavil postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)	vzpostavil postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)	pristojnemu nadzornemu organu zadovoljivo dokazal, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3. Pristojni nadzorni organ osnutek meril za pooblastitev organa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII organ iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5. Pristojni nadzorni organ organu iz odstavka 1 pooblastilo prekliče, če pogoji za pooblastitev niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ, kršijo to uredbo.

6. Ta člen se ne uporablja za obdelavo, ki jo izvajajo javni organi in telesa.

Člen 43

Organi za potrjevanje

1. Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 potrdilo izda in podaljša organ za potrjevanje, ki ima ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer potem, ko obvesti nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ti organi za potrjevanje pooblaščeni s strani enega ali obeh od naslednjih:

(a)	nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)	nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (20) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2. Organi za potrjevanje iz odstavka 1 se lahko v skladu z navedenim odstavkom pooblastijo le, kadar so:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazali svojo neodvisnost in strokovno znanje v zvezi z vsebino potrjevanja;

(b)	se zavezali, da bodo izpolnjevali merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)	vzpostavili postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov;

(d)	vzpostavili postopke in strukture za obravnavanje pritožb zaradi kršitev potrjevanja ali načina, kako je potrjevanje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)	pristojnemu nadzornemu organu zadovoljivo dokazali, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov.

3. Organi za potrjevanje iz odstavkov 1 in 2 tega člena se pooblastijo na podlagi meril, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru pooblastitve iz točke (c) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje.

4. Organi za potrjevanje iz odstavka 1 so odgovorni za ustrezno ocenjevanje, ki privede do potrdila ali preklica takšnega potrdila, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Pooblastilo se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če organ za potrjevanje izpolnjuje zahteve, določene v tem členu.

5. Organi za potrjevanje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega potrdila.

6. Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru. Odbor zbira v registru vse mehanizme potrjevanja in pečate za varstvo podatkov ter jih objavi na kakršne koli ustrezne načine.

7. Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče pooblastilo organu za potrjevanje na podlagi odstavka 1 tega člena, kadar pogoji za pooblastilo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ za potrjevanje, kršijo to uredbo.

8. Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme potrjevanja za varstvo podatkov iz člena 42(1).

9. Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

POGLAVJE V

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Člen 46

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1. Kadar sklep v skladu s členom 45(3) ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje nadzornih organov, zagotovijo s:

(a)	pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)	zavezujočimi poslovnimi pravili v skladu s členom 47;

(c)	standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 93(2);

(d)	standardnimi določili o varstvu podatkov, ki jih sprejme nadzorni organ in odobri Komisija v skladu s postopkom pregleda iz člena 93(2);

(e)	odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali

(f)	odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem ustreznega nadzornega organa zagotovijo tudi zlasti s:

(a)	pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)	določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

4. Nadzorni organ v primerih iz odstavka 3 tega člena uporabi mehanizem za skladnost iz člena 63.

5. Dovoljenja države članice ali nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavna, dokler jih zadevni nadzorni organ ne spremeni, nadomesti ali razveljavi, če je to potrebno. Odločitve, ki jih je Komisija sprejela na podlagi člena 26(4) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi, če je to potrebno, z odločitvijo, sprejeto v skladu z odstavkom 2 tega člena.

Člen 56

Pristojnosti vodilnega nadzornega organa

1. Nadzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.

2. Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.

3. Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.

4. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).

5. Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.

6. Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.

whereas

(28) Z uporabo psevdonimizacije osebnih podatkov se lahko zmanjša tveganje za zadevne posameznike, na katere se nanašajo osebni podatki, ter pomaga upravljavcem in obdelovalcem pri izpolnjevanju obveznosti glede varstva podatkov.
Namen izrecne uvedbe „psevdonimizacije“ v tej uredbi ni preprečiti kakršne koli druge ukrepe za varstvo podatkov.

- = -

(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena.
Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni.
Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku.
To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi.
posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo.
Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov.
Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje.
Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi.
Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.
Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov.
Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

- = -

(50) Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani.
V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije ali pravom držav članic.
Nadaljnja obdelava v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave.
Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije ali pravom držav članic, je lahko tudi pravna podlaga za nadaljnjo obdelavo.
Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

- = -

(61) posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera.
Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku.
Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije.
Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

- = -

(102) Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki.
Države članice lahko sklepajo mednarodne sporazume, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije, če taki sporazumi ne vplivajo na to uredbo ali katere koli druge določbe prava Unije in vključujejo ustrezno raven varstva temeljnih pravic posameznikov, na katere se nanašajo osebni podatki.

- = -

(122) Vsak nadzorni organ bi moral biti na ozemlju svoje države članice pristojen za izvajanje pooblastil in opravljanje nalog, ki so mu bile podeljene v skladu s to uredbo.
To bi moralo zajemati predvsem obdelavo v okviru dejavnosti sedeža upravljavca ali obdelovalca na ozemlju njegove države članice, obdelavo osebnih podatkov, ki jo izvajajo javni organi ali zasebna telesa, ki delujejo v javnem interesu, obdelavo, ki zadeva posameznike, na katere se nanašajo osebni podatki, na njegovem ozemlju, ali obdelavo, ki jo izvaja upravljavec ali obdelovalec, ki nima sedeža v Uniji, če obdelava zadeva posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njegovem ozemlju.
To bi moralo vključevati obravnavo pritožb, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, izvajanje preiskav o uporabi te uredbe ter spodbujanje ozaveščenosti javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov.

- = -

(123) Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prost pretok osebnih podatkov na notranjem trgu.
V ta namen bi morali nadzorni organi sodelovati med seboj in s Komisijo, ne da bi morale države članice med seboj zato skleniti sporazum o zagotavljanju medsebojne pomoči ali o takem sodelovanju.

- = -

(124) Kadar obdelava osebnih podatkov poteka v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici ali kadar obdelava, ki poteka v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca v Uniji, znatno vpliva oziroma bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, bi moral nadzorni organ za glavni sedež upravljavca ali obdelovalca ali za edini sedež upravljavca ali obdelovalca delovati kot vodilni organ.
Sodelovati bi moral z drugimi zadevnimi organi, ker ima upravljavec ali obdelovalec sedež na ozemlju njihove države članice, ker obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njihovem ozemlju, ali ker je bila pri njih vložena pritožba. Četudi je pritožbo vložil posameznik, na katerega se nanašajo osebni podatki in ki ne prebiva v zadevni državi članici, bi moral biti nadzorni organ, pri katerem je bila vložena pritožba, tudi zadevni nadzorni organ.
Odbor bi moral imeti možnost, da v okviru svojih nalog izdajanja smernic za vsako vprašanje v zvezi z uporabo te uredbe izda smernice zlasti glede meril, ki jih je treba upoštevati, da se ugotovi, ali zadevna obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, in glede tega, kaj so ustrezni in utemeljeni razlogi za ugovor.

- = -

(127) Vsak nadzorni organ, ki ne deluje kot vodilni nadzorni organ, bi moral biti pristojen za obravnavanje lokalnih zadev, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, vsebina določene obdelave pa se nanaša le na obdelavo v eni državi članici in vključuje le posameznike, na katere se nanašajo osebni podatki, iz te države članice, na primer, kadar se vsebina nanaša na obdelavo osebnih podatkov o zaposlenih v okviru zaposlitve v posamezni državi članici.
V takih primerih bi moral nadzorni organ o tem brez odlašanja obvestiti vodilni nadzorni organ.
Vodilni nadzorni organ bi moral, potem ko je obveščen, odločiti, ali bo zadevo obravnaval v skladu z določbami o sodelovanju med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi (v nadaljnjem besedilu: mehanizem vse na enem mestu), oziroma ali bi moral zadevo na lokalni ravni obravnavati nadzorni organ, ki ga je o tem obvestil.
Vodilni nadzorni organ bi moral pri odločanju o tem, ali bo zadevo obravnaval, upoštevati, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, da bi zagotovili učinkovito izvrševanje odločitve do upravljavca ali obdelovalca.
Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, bi moral nadzorni organ, ki ga je o tem obvestil, imeti možnost predložiti osnutek odločitve, ki bi ga moral vodilni nadzorni organ v največji meri upoštevati pri pripravi svojega osnutka odločitve v okviru tega mehanizma vse na enem mestu.

- = -

(131) Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila.
To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

- = -

(132) Dejavnosti nadzornih organov, ki so namenjene ozaveščanju javnosti, bi morale obsegati posebne ukrepe, usmerjene na upravljavce in obdelovalce, vključno z mikro, malimi in srednjimi podjetji, pa tudi posameznike, zlasti na področju izobraževanja.

- = -

(156) Pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.
S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov.
Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov).
Države članice bi morale zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Državam članicam bi bilo treba dovoliti, da pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene pod določenimi pogoji in ob zagotovitvi ustreznih zaščitnih ukrepov za posameznike, na katere se nanašajo osebni podatki, določijo natančnejšo ureditev in odstopanja v zvezi z zahtevami po informacijah ter pravice do popravka, do izbrisa, do pozabe, do omejitve obdelave, do prenosljivosti podatkov in do ugovora.
Zadevni pogoji in zaščitni ukrepi lahko zahtevajo posebne postopke za uresničevanje navedenih pravic posameznikov, na katere se nanašajo osebni podatki, če je to ustrezno glede na namene specifične obdelave, ter tehnične in organizacijske ukrepe, s katerimi bi čim bolj zmanjšali obdelavo osebnih podatkov zaradi spoštovanja načel sorazmernosti in potrebnosti.
Pri obdelavi osebnih podatkov v znanstvene namene bi bilo treba upoštevati tudi drugo zadevno zakonodajo, denimo o kliničnem preskušanju.

- = -

dal 2004 diritto e informatica