interactive GDPR 2016/0679 SL

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 6

Zakonitost obdelave

1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)	obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)	pravom Unije; ali

(b)	pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)	kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)	okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)	naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)	morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)	obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 9

Obdelava posebnih vrst osebnih podatkov

1. Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2. Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)	obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)	obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3. Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

4. Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

Člen 14

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo

1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

(a)	istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	vrste zadevnih osebnih podatkov;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)	obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(c)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(e)	pravico do vložitve pritožbe pri nadzornem organu;

(f)	od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

(g)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)	v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)	če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)	če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)	posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

(c)	je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)	morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.

Člen 17

Pravica do izbrisa („pravica do pozabe“)

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)	osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)	posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)	posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d)	osebni podatki so bili obdelani nezakonito;

(e)	osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f)	osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3. Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)	za uresničevanje pravice do svobode izražanja in obveščanja;

(b)	za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)	iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

(d)	za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)	za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 26

Skupni upravljavci

1. Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2. Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3. Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 28

Obdelovalec

1. Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2. Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3. Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)	zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)	sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)	spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)	ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)	upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)	v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)	da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6. Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7. Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8. Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9. Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10. Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 38

Položaj pooblaščene osebe za varstvo podatkov

1. Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2. Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3. Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.

5. Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.

6. Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

Člen 49

Odstopanja v posebnih primerih

1. Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)	prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)	prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)	prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)	prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)	prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g)

prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.

2. Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

3. Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.

4. Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.

5. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.

6. Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.

Člen 53

Splošni pogoji za člane nadzornega organa

1. Države članice zagotovijo, da vsakega člana nadzornega organa po preglednem postopku imenuje:

—	njihov parlament,

—	njihova vlada,

—	njihov voditelj ali

—	neodvisno telo, ki je na podlagi prava države članice pooblaščeno za imenovanje.

2. Vsak član ima kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.

3. Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali razrešitve v skladu s pravom zadevne države članice.

4. Član je razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.

Člen 54

Pravila o ustanovitvi nadzornega organa

1. Vsaka država članica z zakonom določi vse naslednje:

(a)	ustanovitev posameznega nadzornega organa;

(b)	kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(c)	pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

(d)	trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 24. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

(e)	ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo, in če je tako, za koliko mandatov;

(f)	pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

2. Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali pravom države članice tako med svojim mandatom kot po njem dolžni varovati poklicne skrivnosti v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te uredbe.

Oddelek 2

Pristojnost, naloge in pooblastila

Člen 57

Naloge

1. Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)	spremlja in zagotavlja uporabo te uredbe;

(b)	spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)	v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)	spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(e)	vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)	sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

(h)	izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(i)	spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(j)	sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

(k)	vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(l)	svetuje glede dejanj obdelave iz člena 36(2);

(m)	spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

(n)	spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila potrjevanja v skladu s členom 42(5);

(o)	kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)	oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)	opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(r)	odobri pogodbena določila in določbe iz člena 46(3);

(s)	odobri zavezujoča poslovna pravila v skladu s členom 47;

(t)	prispeva k dejavnostim odbora;

(u)	hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

(v)	opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

2. Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3. Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.

4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 58

Pooblastila

1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a)	da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)	da izvaja preiskave v obliki pregledov na področju varstva podatkov;

(c)	da izvaja preglede potrdil, izdanih v skladu s členom 42(7);

(d)	da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(e)	da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(f)	da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

2. Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

(a)	da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)	da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)	da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d)	da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(e)	da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(f)	da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(g)	da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(h)	da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;

(i)	da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

(j)	da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

3. Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)	da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

(b)	da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(c)	da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

(d)	da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

(e)	da pooblasti organe za potrjevanje v skladu s členom 43;

(f)	da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);

(g)	da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

(h)	da odobri pogodbena določila iz točke (a) člena 46(3);

(i)	da odobri upravne dogovore iz točke (b) člena 46(3);

(j)	da odobri zavezujoča poslovna pravila v skladu s členom 47.

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6. Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.

Člen 62

Skupno ukrepanje nadzornih organov

1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2. Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. Pristojni nadzorni organ, ki je pristojen na podlagi člena 56(1) ali (4), k sodelovanju pri skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se brez odlašanja odzove na zahtevo nadzornega organa za sodelovanje.

3. Nadzorni organ lahko v skladu s pravom držav članic in z dovoljenjem nadzornega organa druge države članice dodeli pooblastila, tudi preiskovalna, članom ali osebju nadzornega organa druge države članice, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu države članice nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa druge države članice dovoli izvajanje njihovih preiskovalnih pooblastil v skladu s pravom države članice nadzornega organa druge države članice. Takšna preiskovalna pooblastila se lahko izvajajo samo pod vodstvom in v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja pravo države članice nadzornega organa gostitelja.

4. Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, tudi kazensko odgovornost, za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.

5. Država članica, na ozemlju katere je bila povzročena škoda, tako škodo poravna pod pogoji, ki veljajo za škodo, ki jo povzroči njeno lastno osebje. Država članica nadzornega organa druge države članice, katere osebje povzroči škodo kateri koli osebi na ozemlju druge države članice, tej drugi državi članici v celoti povrne vse zneske, ki jih je ta izplačala upravičenim osebam.

6. V primeru iz odstavka 1 vsaka država članica brez poseganja v uresničevanje svojih pravic do tretjih oseb in z izjemo odstavka 5 od druge države članice ne zahteva povračila škode iz odstavka 4.

7. Kadar se načrtuje skupno ukrepanje in nadzorni organ v enem mesecu ne izpolni obveznosti iz drugega stavka odstavka 2 tega člena, lahko drugi nadzorni organi v skladu s členom 55 sprejmejo začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujno mnenje ali nujna zavezujoča odločitev odbora.

Oddelek 2

Skladnost

Člen 68

Evropski odbor za varstvo podatkov

1. Evropski odbor za varstvo podatkov (v nadaljnjem besedilu: odbor) se ustanovi kot organ Unije in je pravna oseba.

2. Odbor zastopa njegov predsednik.

3. Odbor sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.

4. Kadar je v državi članici za spremljanje uporabe določb na podlagi te uredbe pristojnih več nadzornih organov, se v skladu s pravom te države članice imenuje skupni predstavnik.

5. Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih odbora, nima pa glasovalne pravice. Komisija imenuje svojega predstavnika. Predsednik odbora obvesti Komisijo o dejavnostih odbora.

6. V primerih iz člena 65 ima Evropski nadzornik za varstvo podatkov glasovalno pravico le pri odločitvah v zvezi z načeli in pravili, ki se uporabljajo za institucije, organe, urade in agencije Unije ter po vsebini ustrezajo načelom in pravilom iz te uredbe.

Člen 80

Zastopanje posameznikov, na katere se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.

2. Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.

Člen 83

Splošni pogoji za naložitev upravnih glob

1. Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2. Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)	narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)	ali je kršitev naklepna ali posledica malomarnosti;

(c)	vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(d)	stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;

(e)	vse zadevne predhodne kršitve upravljavca ali obdelovalca;

(f)	stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(g)	vrste osebnih podatkov, ki jih zadeva kršitev,

(h)	kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;

(i)	kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;

(j)	zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom potrjevanja v skladu s členom 42, in

(k)	morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

3. Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

(b)	obveznosti organa za potrjevanje v skladu s členoma 42 in 43;

(c)	obveznosti organa za spremljanje v skladu s členom 41(4).

5. V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;

(b)	pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;

(c)	prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;

(d)	katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;

(e)	neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).

6. V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7. Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.

8. Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

9. Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.

Člen 86

Obdelava in dostop javnosti do uradnih dokumentov

Javni organ oziroma javno ali zasebno telo lahko v skladu s pravom Unije ali pravom države članice, ki velja za javni organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se uskladi dostop javnosti do uradnih dokumentov s pravico do varstva osebnih podatkov v skladu s to uredbo.

Člen 90

Obveznost varovanja skrivnosti

1. Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.

2. Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 96

Razmerje s predhodno sklenjenimi sporazumi

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 24. majem 2016 ter so skladni s pravom Unije, ki se je uporabljalo pred navedenim datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

whereas

(5) Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov osebnih podatkov.
Izmenjava osebnih podatkov med javnimi in zasebnimi akterji v Uniji, vključno s posamezniki, združenji in družbami, se je povečala.
S pravom Unije se poziva nacionalne organe držav članic k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.

- = -

(8) Kadar ta uredba določa natančnejše določitve ali omejitve svojih pravil s pravom držav članic, lahko države članice vključijo elemente te uredbe v svoje nacionalno pravo, kolikor je to potrebno zaradi skladnosti in razumljivosti nacionalnih določb za osebe, za katere se uporabljajo.

- = -

(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah.
V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov.
Kar zadeva obdelavo osebnih podatkov z namenom izpolnjevanja pravne obveznosti, za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu, bi moralo biti državam članicam dovoljeno ohraniti ali uvesti nacionalne določbe za podrobnejšo opredelitev uporabe pravil iz te uredbe.
Države članice so v povezavi s splošnim in horizontalnim pravom o varstvu podatkov, s katerim se izvaja Direktiva 95/46/ES, sprejele več področnih zakonov na področjih, kjer so potrebne podrobnejše določbe.
Tudi ta uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov („občutljivi podatki“).
V tem obsegu ta uredba ne izključuje prava držav članic, s katerim so opredeljene okoliščine posebnih primerov obdelave, vključno s podrobnejšo določitvijo pogojev, pod katerimi je obdelava osebnih podatkov zakonita.

- = -

(31) Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, in sicer v skladu s pravom Unije ali države članice.
Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk.
Obdelava osebnih podatkov s strani teh javnih organov bi morala biti skladna z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

- = -

(50) Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani.
V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije ali pravom držav članic.
Nadaljnja obdelava v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave.
Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije ali pravom držav članic, je lahko tudi pravna podlaga za nadaljnjo obdelavo.
Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

- = -

(55) Poleg tega se obdelava osebnih podatkov s strani državnih organov za namen doseganja ciljev uradno priznanih verskih skupnosti, ki so določeni z ustavnim pravom ali mednarodnim javnim pravom, izvaja zaradi javnega interesa.

- = -

(73) Omejitve glede posebnih načel in pravic do obveščenosti, dostopa in popravka ali izbrisa osebnih podatkov, pravice do prenosljivosti podatkov, pravice do ugovora, odločitev, ki temeljijo na oblikovanju profilov, sporočanja o kršitvi varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo s pravom Unije ali pravom držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali kršitev etike za zakonsko urejene poklice, drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa, vodenja javnih registrov iz razlogov splošnega javnega interesa, nadaljnje obdelave arhiviranih osebnih podatkov, da se zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, ali varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, vključno s socialnim varstvom, javnim zdravjem in humanitarnimi nameni.
Te omejitve bi morale biti skladne z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

- = -

(81) Za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, bi moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave.
Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot dokaz za izpolnjevanje obveznosti upravljavca.
Obdelavo s strani obdelovalca bi morala urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki bi določal obveznosti obdelovalca do upravljavca ter določal vsebino in trajanje obdelave, naravo in namene obdelave, vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, ob upoštevanju posebnih nalog in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki.
Upravljavec in obdelovalec se lahko odločita za uporabo individualne pogodbe ali standardnih pogodbenih določil, ki jih sprejme bodisi neposredno Komisija bodisi nadzorni organ v skladu z mehanizmom za skladnost, nato pa jih sprejme Komisija.
Po zaključku obdelave v imenu upravljavca bi moral obdelovalec v skladu z odločitvijo upravljavca vrniti ali izbrisati osebne podatke, razen v primeru zahteve za shranitev osebnih podatkov v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca.

- = -

(111) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi.
Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije ali pravom držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom.
V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

- = -

(112) Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, med finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu.
Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu držav članic zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo.
Države članice bi morale o takšnih določbah uradno obvestiti Komisijo.
Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

- = -

(115) Nekatere tretje države sprejemajo zakone, predpise in druge pravne akte, ki neposredno urejajo dejavnosti obdelave fizičnih in pravnih oseb v pristojnosti držav članic.
To lahko vključuje sodbe sodišč ali odločbe upravnih organov tretjih držav, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov, in ki ne temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico.
Zunajozemeljska uporaba teh zakonov, predpisov in drugih pravnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba.
Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države.
To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije ali pravom države članice, ki velja za upravljavca.

- = -

(121) Vsaka država članica bi morala z zakonom predpisati splošne pogoje za člana ali člane nadzornega organa, ki bi morali zlasti zagotoviti, da te člane v preglednem postopku imenuje bodisi parlament, vlada ali voditelj države članice na podlagi predloga vlade, člana vlade, parlamenta ali njegovega dela ali pa neodvisno telo, pooblaščeno v skladu s pravom države članice.
Da bi zagotovili neodvisnost nadzornega organa, bi morali član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne bi smeli ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.
Nadzorni organ bi moral imeti svoje osebje, ki ga izbere nadzorni organ ali neodvisno telo, ustanovljeno s pravom države članice, in ki bi ga morali usmerjati izključno član oziroma člani nadzornega organa.

- = -

(129) Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, hkrati pa ne bi smeli vplivati na pooblastila organov, pristojnih za pregon v skladu s pravom držav članic, da sodne organe opozorijo na kršitve te uredbe in sodelujejo v sodnih postopkih.
Taka pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali dokončne omejitve ali prepoved obdelave.
Države članice lahko določijo še druge naloge, povezane z varstvom osebnih podatkov v skladu s to uredbo.
Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi v pravu Unije in pravu držav članic.
Zlasti bi moral biti vsak ukrep ustrezen, potreben in sorazmeren, da se zagotovi skladnost s to uredbo, pri tem pa se upoštevajo okoliščine posameznega primera, spoštuje pravica vsake osebe, da izrazi svoje mnenje, preden se sprejme kakršen koli posamezen ukrep, ki bi imel zanjo negativne posledice, ter preprečijo nepotrebni stroški in pretirane nevšečnosti za vpletene osebe.
Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami postopkovnega prava držav članic, kot je na primer zahteva pridobitve predhodnega sodnega dovoljenja.
Vsak pravno zavezujoč ukrep nadzornega organa bi moral biti v pisni obliki, jasen in nedvoumen, v njem pa bi morala biti navedena nadzorni organ, ki je ukrep izdal, in datum izdaje ukrepa, podpisati bi ga moral vodja ali član nadzornega organa, ki ga ta pooblasti, vsebovati bi moral razloge za ukrep ter sklic na pravico do učinkovitega pravnega sredstva.
To ne bi smelo izključevati dodatnih zahtev v skladu s postopkovnim pravom držav članic.
Sprejetje pravno zavezujoče odločitve pomeni, da je lahko v državi članici nadzornega organa, ki jo je sprejel, predmet sodne presoje.

- = -

(131) Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila.
To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

- = -

(142) Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti telo, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri nadzornem organu, uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali, če je tako določeno v pravu države članice, uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki.
Država članica lahko zahteva, da mora tako telo, organizacija ali združenje imeti pravico, da neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici vloži pritožbo, in pravico do učinkovitega pravnega sredstva, kadar utemeljeno meni, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, kršene zaradi obdelave osebnih podatkov, ki krši to uredbo.
To telo, organizacija ali združenje ne sme zahtevati odškodnine v imenu posameznika, na katerega se nanašajo osebni podatki, neodvisno od pooblastila posameznika.

- = -

(143) Katera koli fizična ali pravna oseba ima pravico, da pred Sodiščem pod pogoji iz člena 263 PDEU vloži ničnostno tožbo zoper odločitve odbora.
Zadevni nadzorni organi, ki želijo take odločitve izpodbijati, morajo kot njihovi naslovniki v skladu s členom 263 PDEU tožbo vložiti v dveh mesecih po tem, ko so bili o njih uradno obveščeni.
Kadar se odločitve odbora podatkov nanašajo neposredno in posamično na upravljavca, obdelovalca ali pritožnika, lahko ta vloži ničnostno tožbo zoper te odločitve, to pa mora v skladu s členom 263 PDEU storiti v dveh mesecih od objave teh odločitev na spletnem mestu odbora.
Brez poseganja v to pravico na podlagi člena 263 PDEU, bi morala imeti vsaka fizična ali pravna oseba na voljo učinkovito pravno sredstvo pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo.
Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, popravljalnih pooblastil in pooblastil v zvezi z dovoljenji ali na zavržene ali zavrnjene pritožbe.
Vendar pa pravica do učinkovitega pravnega sredstva ne zajema ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti.
Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi se morali v skladu s postopkovnim pravom te države članice.
Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

- = -

(144) Kadar sodišče, pred katerim poteka postopek zoper odločitev nadzornega organa, utemeljeno meni, da v zvezi z enako obdelavo, kot je enaka vsebina, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, ali enaka podlaga za tožbo, predloži zadevo pristojnemu sodišču v drugi državi članici, bi moralo obvestiti zadevno sodišče, da se potrdi obstoj povezanih postopkov. Če povezani postopki potekajo pred sodiščem v drugi državi članici, lahko katero koli sodišče, razen sodišča, ki je prvo začelo postopek, zaustavi postopek ali na zahtevo ene od strank zavrne pristojnost v prid sodišča, ki je prvo začelo postopek, če je to sodišče pristojno za zadevne postopke in lahko v skladu s svojim pravom združi tako povezane postopke.
Postopki veljajo za povezane, kadar so med seboj tako tesno povezani, da se zdita njihova skupna obravnava in skupno odločanje o njih smiselna, da bi se izognili nevarnosti nezdružljivih sodb, ki bi izhajale iz ločenih postopkov.

- = -

(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo.
Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo.
Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe.
To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice.
Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe.
Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.
Kadar so upravljavci ali obdelovalci vključeni v isto obdelavo, bi moral biti vsak upravljavec ali obdelovalec odgovoren za celotno škodo.
Kadar pa so upravljavci ali obdelovalci združeni v isti sodni postopek v skladu s pravom države članice, se lahko odškodnina porazdeli v skladu z odgovornostjo vsakega upravljavca ali obdelovalca za škodo, ki je bila povzročena zaradi obdelave, če je zagotovljeno, da posameznik, na katerega se nanašajo osebni podatki in ki je škodo utrpel, prejme celotno in učinkovito odškodnino.
Vsak upravljavec ali obdelovalec, ki je plačal celotno odškodnino, lahko naknadno začne postopek za povrnitev stroškov zoper druge upravljavce ali obdelovalce, vključene v isto obdelavo.

- = -

(152) Kadar ta uredba ne zagotavlja harmonizacije upravnih kazni ali po potrebi v drugih primerih, denimo v primeru hudih kršitev te uredbe, bi morale države članice uporabiti sistem, ki zagotavlja učinkovite, sorazmerne in odvračilne kazni.
Narava takšnih kazni, kazenskih ali upravnih, bi morala biti določena s pravom držav članic.

- = -

(154) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe.
Dostop javnosti do uradnih dokumentov se lahko šteje, da je v javnem interesu.
Osebne podatke v dokumentih, s katerimi razpolaga javni organ ali telo, bi moral ta organ ali telo imeti možnost javno razkriti, če je to v skladu s pravom Unije ali pravom države članice, ki velja za ta javni organ ali telo.
S tovrstno zakonodajo bi bilo treba dostop javnosti do uradnih dokumentov in ponovno uporabo informacij javnega sektorja uskladiti s pravico do varstva osebnih podatkov, zato so v njej lahko določene potrebne uskladitve s pravico do varstva osebnih podatkov v skladu s to uredbo.
Sklicevanje na javne organe in telesa v tem okviru bi moralo vključevati vse organe ali druga telesa, zajeta s pravom držav članic o dostopu javnosti do dokumentov.
Direktiva 2003/98/ES Evropskega parlamenta in Sveta (14) ne obravnava in na noben način ne vpliva na stopnjo varstva posameznikov pri obdelavi osebnih podatkov, ki jo določata pravo Unije in pravo držav članic, ter zlasti ne spreminja obveznosti in pravic iz te uredbe.
Navedena direktiva se zlasti ne bi smela uporabljati za dokumente, do katerih ni dostopa ali do katerih režimi dostopa omejujejo dostop zaradi varstva osebnih podatkov, ter dele dokumentov, do katerih ti režimi dovoljujejo dostop, vendar vsebujejo osebne podatke, katerih ponovna uporaba je z zakonom opredeljena kot nezdružljiva s pravom o varstvu posameznikov pri obdelavi osebnih podatkov.

- = -

(158) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v namene arhiviranja, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.
Javni organi oziroma javna ali zasebna telesa, ki vodijo evidence v javnem interesu, bi morali biti službe, ki imajo v skladu s pravom Unije ali pravom držav članic pravno obveznost, da pridobijo, ohranijo, ocenijo, uredijo, opišejo, sporočajo, spodbujajo in razširjajo evidence, ki so trajnega pomena za splošen javni interes, ter zagotavljajo dostop do njih.
Državam članicam bi bilo treba tudi dovoliti, da določijo, da se lahko osebni podatki nadalje obdelujejo v namene arhiviranja, da se na primer zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, genocidom, hudodelstvom zoper človečnost, zlasti holokavstom, ali vojnimi zločini.

- = -

(162) Če se osebni podatki obdelujejo v statistične namene, bi se morala za to obdelavo uporabljati ta uredba.
S pravom Unije ali pravom držav članic bi bilo treba v mejah te uredbe določiti statistično vsebino, nadzor dostopa, natančnejšo ureditev obdelave osebnih podatkov v statistične namene ter ustrezne ukrepe za varstvo pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in zagotovitev statistične zaupnosti. „Statistični nameni“ pomeni vsako dejanje zbiranja in obdelave osebnih podatkov, potrebno za statistične raziskave ali pripravo statističnih rezultatov.
Ti statistični rezultati se lahko nadalje uporabijo v različne namene, tudi v znanstveno-raziskovalne namene. „Statistični namen“ pomeni, da rezultati obdelave v statistične namene niso osebni podatki, temveč zbirni podatki, ter da se ti rezultati ali osebni podatki ne uporabijo v podporo ukrepov ali odločitev v zvezi z določenim posameznikom.

- = -

(163) Zaupne informacije, ki jih statistični organi Unije in nacionalni statistični organi zberejo zaradi priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi.
Evropsko statistiko bi bilo treba razvijati, pripravljati in razširjati v skladu s statističnimi načeli iz člena 338(2) PDEU, nacionalna statistika pa bi morala biti skladna tudi s pravom države članice.
V Uredbi (ES) št. 223/2009 Evropskega parlamenta in Sveta (16) so določene nadaljnje natančnejše ureditve glede statistične zaupnosti evropske statistike.

- = -

dal 2004 diritto e informatica