interactive GDPR 2016/0679 SL

3. Prosti pretok osebnih podatkov v Uniji ne sme biti omejen ali prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Člen 4

Opredelitev pojmov

V tej uredbi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 51

Nadzorni organ

1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).

2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3. Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki zadevne organe zastopa v odboru, in vzpostavi mehanizem, s katerim zagotovi, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 63.

4. Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, do 25. maja 2018, in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 98

Pregled drugih pravnih aktov Unije o varstvu podatkov

Komisija po potrebi predloži zakonodajne predloge za spremembo drugih pravnih aktov Unije o varstvu osebnih podatkov, da se zagotovi enotno in skladno varstvo posameznikov pri obdelavi. To zlasti zadeva pravila o varstvu posameznikov pri obdelavi s strani institucij, organov, uradov in agencij Unije ter pravila o prostem pretoku takšnih podatkov.

Člen 99

Začetek veljavnosti in uporaba

1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2. Uporablja se od 25. maja 2018.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 27. aprila 2016

Za Evropski parlament

Predsednik

M. SCHULZ

Za Svet

Predsednica

J.A. HENNIS-PLASSCHAERT

(1) UL C 229, 31.7.2012, str. 90.

(2) UL C 391, 18.12.2012, str. 127.

(3) Stališče Evropskega parlamenta z dne 12. marca 2014 (še ni objavljeno v Uradnem listu) in stališče Sveta v prvi obravnavi z dne 8. aprila 2016 (še ni objavljeno v Uradnem listu). Stališče Evropskega parlamenta z dne 14. aprila 2016.

(4) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(5) Priporočilo Komisije z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij (C(2003) 1422) (UL L 124, 20.5.2003, str. 36).

(6) Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(7) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov in o razveljavitvi Okvirnega sklep Sveta 2008/977/PNZ (glej stran 89 tega Uradnega lista).

(8) Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju) (UL L 178, 17.7.2000, str. 1).

(9) Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(10) Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

(11) Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).

(12) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13) Uredba (EU) št. 1215/2012 Evropskega parlamenta in Sveta z dne 12. decembra 2012 o pristojnosti in priznavanju ter izvrševanju sodnih odločb v civilnih in gospodarskih zadevah (UL L 351, 20.12.2012, str. 1).

(14) Direktiva 2003/98/ES Evropskega parlamenta in Sveta z dne 17. novembra 2003 o ponovni uporabi informacij javnega sektorja (UL L 345, 31.12.2003, str. 90).

(15) Uredba (EU) št. 536/2014 Evropskega parlamenta in Sveta z dne 16. aprila 2014 o kliničnem preskušanju zdravil za uporabo v humani medicini in razveljavitvi Direktive 2001/20/ES (UL L 158, 27.5.2014, str. 1).

(16) Uredba (ES) št. 223/2009 Evropskega parlamenta in Sveta z dne 11. marca 2009 o evropski statistiki ter razveljavitvi Uredbe (ES, Euratom) št. 1101/2008 Evropskega parlamenta in Sveta o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti, Uredbe Sveta (ES) št. 322/97 o statističnih podatkih Skupnosti in Sklepa Sveta 89/382/EGS, Euratom, o ustanovitvi Odbora za statistične programe Evropskih skupnosti (UL L 87, 31.3.2009, str. 164).

(17) UL C 192, 30.6.2012, str. 7.

(18) Direktiva 2002/58/ES evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(19) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).

(20) Uredba (ES) št. 765/2008 Evropskega Parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(21) Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).

whereas

(3) Direktiva Evropskega parlamenta in Sveta 95/46/ES (4) je namenjena harmonizaciji varstva temeljnih pravic in svoboščin posameznikov pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

- = -

(6) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov.
Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal.
Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za dosego svojih ciljev v obsegu, kakršnega še ni bilo.
Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno.
Tehnologija je spremenila tako gospodarstvo kot družbeno življenje ter bi morala še naprej omogočati lažje izvajanje prostega pretoka osebnih podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

- = -

(9) Cilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti ali razširjenega javnega mnenja, da so precejšnja tveganja za varstvo posameznikov, zlasti glede spletne dejavnosti.
Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov, pri obdelavi osebnih podatkov v državah članicah lahko preprečijo prosti pretok osebnih podatkov po celotni Uniji.
Te razlike lahko pomenijo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti po pravu Unije.
Take različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.

- = -

(12) V členu 16(2) PDEU je navedeno, da Evropski parlament in Svetdoločata pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

- = -

(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic.
Za pravilno delovanje notranjega trga prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.
Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij ta uredba vsebuje odstopanja glede vodenja evidenc za organizacije, ki zaposlujejo manj kot 250 oseb.
Poleg tega se institucije in organe Unije ter države članice in njihove nadzorne organe spodbuja, da posebne potrebe mikro, malih in srednjih podjetij upoštevajo pri uporabi te uredbe.
Pojem mikro, malih in srednjih podjetij bi moral temeljiti na členu 2 Priloge k Priporočilu Komisije 2003/361/ES (5).

- = -

(16) Ta uredba se ne uporablja za vprašanja varstva temeljnih pravic in svoboščin ali prostega pretoka osebnih podatkov, povezana z dejavnostmi, ki ne spadajo na področje uporabe prava Unije, kot so dejavnosti v zvezi z nacionalno varnostjo.
Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije.

- = -

(19) Varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter prosti pretok takih podatkov je urejeno v posebnem pravnem aktu Unije.
Ta uredba se zato ne bi smela uporabljati za dejavnosti obdelave v navedene namene.
Vendar pa bi moral obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za navedene namene, urejati bolj poseben pravni akt Unije, in sicer Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (7).
Države članice lahko pristojnim organom v smislu Direktive (EU) 2016/680 zaupajo naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada na področje uporabe prava Unije, spada na področje uporabe te uredbe.

- = -

(21) Ta uredba ne posega v uporabo Direktive 2000/31/ES Evropskega parlamenta in Sveta (8), zlasti pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.
Namen navedene direktive je prispevati k pravilnemu delovanju notranjega trga z zagotavljanjem prostega pretoka storitev informacijske družbe med državami članicami.

- = -

(53) Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva, vključno z obdelavo takšnih podatkov s strani uprave in osrednjih nacionalnih zdravstvenih organov zaradi nadzora kakovosti, upravljanja informacij ter splošnega nacionalnega in lokalnega nadzora sistema zdravstvenega ali socialnega varstva, ter zagotavljanja neprekinjenosti zdravstvenega ali socialnega varstva in čezmejnega zdravstvenega varstva ali zaradi zdravstvene varnosti, spremljanja in opozarjanja ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije ali prava držav članic, ki mora izpolnjevati cilj javnega interesa, pa tudi v okviru študij v javnem interesu, ki se izvajajo na področju javnega zdravja.
Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti.
V pravu Unije ali pravu držav članic bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov.
Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju.
To pa ne bi smelo ovirati prostega pretoka osebnih podatkov v Uniji, kadar ti pogoji veljajo za čezmejno obdelavo takih podatkov.

- = -

(123) Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prost pretok osebnih podatkov na notranjem trgu.
V ta namen bi morali nadzorni organi sodelovati med seboj in s Komisijo, ne da bi morale države članice med seboj zato skleniti sporazum o zagotavljanju medsebojne pomoči ali o takem sodelovanju.

- = -

(166) Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine posameznikov in zlasti njihova pravica do varstva osebnih podatkov ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte.
Zlasti bi bilo treba sprejeti delegirane akte, kar zadeva merila in zahteve v zvezi z mehanizmi potrjevanja, informacijami, ki se navedejo v standardiziranih ikonah, in postopki za določitve takšnih ikon.
Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov.
Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da se zadevni dokumenti posredujejo Evropskemu parlamentu in Svetu sočasno, pravočasno in na ustrezen način.

- = -

(170) Ker cilja te uredbe, in sicer zagotovitve enakovredne ravni varstva posameznikov in prostega pretoka osebnih podatkov v vsej Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji (PEU).
V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.

- = -

dal 2004 diritto e informatica