interactive GDPR 2016/0679 SL

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)	„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)	„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)	„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)	„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)	„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)	„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)	„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)	„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)	„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)	„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)	„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)	„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)	ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)	obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)	je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)	obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)	„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)	„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 13

Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki

1. Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)	identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(f)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)	obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)	pravico do vložitve pritožbe pri nadzornem organu;

(e)	ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

(f)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4. Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 14

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo

1. Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

(a)	istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	vrste zadevnih osebnih podatkov;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)	obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(c)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(e)	pravico do vložitve pritožbe pri nadzornem organu;

(f)	od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

(g)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)	v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)	če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)	če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5. Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)	posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

(c)	je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)	morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.

Člen 15

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)	namene obdelave;

(b)	vrste zadevnih osebnih podatkov;

(c)	uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)	kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)	obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)	pravico do vložitve pritožbe pri nadzornem organu;

(g)	kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.

3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 3

Popravek in izbris

Člen 21

Pravica do ugovora

1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.

3. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

4. Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavkov 1 in 2 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

5. V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

6. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Člen 22

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2. Odstavek 1 se ne uporablja, če je odločitev:

(a)	nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;

(b)	dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(c)	utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

3. V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4. Odločitve iz odstavka 2 ne temeljijo na posebnih vrstah osebnih podatkov iz člena 9(1), razen če se uporablja točka (a) ali (g) člena 9(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

Oddelek 5

Omejitve

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 47

Zavezujoča poslovna pravila

1. Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:

(a)	so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;

(b)	posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter

(c)	izpolnjujejo zahteve iz odstavka 2.

2. Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:

(a)	strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;

(b)	prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;

(c)	njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;

(g)	kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;

(h)

naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;

(i)	pritožbene postopke;

(j)

mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;

(k)	mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;

(l)	mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);

(m)	mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in

(n)	ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.

3. Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 70

Naloge odbora

1. Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:

(a)	spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

(b)	svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(c)	svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

(d)	izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

(e)	na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

(f)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(h)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varstva osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

(i)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

(j)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

(k)	pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

(l)	pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);

(m)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

(n)	spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

(o)	pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)	določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;

(q)	Komisiji predloži mnenje o zahtevah glede potrjevanja iz člena 43(8);

(r)	Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

(s)

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

(t)	izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

(u)	spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(v)	spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

(w)	spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(x)	izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

(y)	vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

2. Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3. Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4. Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.

whereas

(30) Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo.
To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

- = -

(38) Otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov.
Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku.
Privolitev nosilca starševske odgovornosti ne bi smela biti potrebna v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku.

- = -

(60) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih.
Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov.
Poleg tega bi moral biti ta posameznik obveščen o obstoju oblikovanja profilov in njegovih posledicah.
Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, bi ga bilo treba obvestiti tudi o tem, ali je dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži.
Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave.
Kadar so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

- = -

(63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost.
To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi.
Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave.
Kadar je mogoče, bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov.
Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo.
To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij.
Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

- = -

(71) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so avtomatska zavrnitev spletne prošnje za posojilo ali prakse zaposlovanja prek spleta brez človekovega posredovanja.
Taka obdelava vključuje „oblikovanje profilov“ v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva.
Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Unije ali pravo države članice, ki velja za upravljavca, tudi za namene spremljanja in preprečevanja zlorab in davčnih utaj v skladu s predpisi, standardi in priporočili institucij Unije ali nacionalnih nadzornih teles ter zagotavljanje varnosti in zanesljivosti storitve, ki jo zagotavlja upravljavec, ali kadar je to nujno za sklepanje ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, ali kadar je posameznik, na katerega se nanašajo osebni podatki, v to izrecno privolil.
V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve.
Taki ukrepi ne bi smeli zadevati otroka.

- = -

(72) Za samo oblikovanje profilov veljajo pravila iz te uredbe, ki urejajo obdelavo osebnih podatkov, na primer pravna podlaga za obdelavo ali načela varstva podatkov.
Evropski odbor za varstvo podatkov, ustanovljen s to uredbo (v nadaljnjem besedilu: odbor), bi moral imeti možnost, da o tem izda smernice.

- = -

(73) Omejitve glede posebnih načel in pravic do obveščenosti, dostopa in popravka ali izbrisa osebnih podatkov, pravice do prenosljivosti podatkov, pravice do ugovora, odločitev, ki temeljijo na oblikovanju profilov, sporočanja o kršitvi varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo s pravom Unije ali pravom držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali kršitev etike za zakonsko urejene poklice, drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa, vodenja javnih registrov iz razlogov splošnega javnega interesa, nadaljnje obdelave arhiviranih osebnih podatkov, da se zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, ali varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, vključno s socialnim varstvom, javnim zdravjem in humanitarnimi nameni.
Te omejitve bi morale biti skladne z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

- = -

(91) To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic.
Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih.
Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu.
Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika.
V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

- = -

dal 2004 diritto e informatica