(36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež.
Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev.
To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju.
Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež.
Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji.
V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi.
Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca.
Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.
- = -
(52) Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje.
Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva, ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Odstopanje bi prav tako moralo veljati za obdelavo takih osebnih podatkov, kadar je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v sodnem postopku ali v upravnem ali izvensodnem postopku.
- = -
(121) Vsaka država članica bi morala z zakonom predpisati splošne pogoje za člana ali člane nadzornega organa, ki bi morali zlasti zagotoviti, da te člane v preglednem postopku imenuje bodisi parlament, vlada ali voditelj države članice na podlagi predloga vlade, člana vlade, parlamenta ali njegovega dela ali pa neodvisno telo, pooblaščeno v skladu s pravom države članice.
Da bi zagotovili neodvisnost nadzornega organa, bi morali član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne bi smeli ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.
Nadzorni organ bi moral imeti svoje osebje, ki ga izbere nadzorni organ ali neodvisno telo, ustanovljeno s pravom države članice, in ki bi ga morali usmerjati izključno član oziroma člani nadzornega organa.
- = -