interactive GDPR 2016/0679 SL

whereas sprejmejo:

• whereas (29) 1
• whereas (156) 1
• whereas (164) 2

definitions:

Člen 40

Kodeksi ravnanja

1.   Države članice, nadzorni organi, odbor in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.

2.   Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:

(a)	poštene in pregledne obdelave;

(b)	zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;

(c)	zbiranje osebnih podatkov;

(d)	psevdonimizacije osebnih podatkov;

(e)	obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;

(f)	uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;

(g)	obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;

(h)	ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;

(i)	uradno obveščanje nadzornih organov o kršitvah varstva osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;

(j)	prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali

(k)	izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

3.   Poleg tega, da so h kodeksom ravnanja, ki so bili odobreni v skladu z odstavkom 5 tega člena in so splošno veljavni v skladu z odstavkom 9 tega člena, zavezani upravljavci ali obdelovalci, za katere se uporablja ta uredba, se k njim lahko zavežejo tudi upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, da se zagotovijo ustrezni zaščitni ukrepi v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (e) člena 46(2). Taki upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, vključno glede pravic posameznikov, na katere se nanašajo osebni podatki.

4.   Kodeks ravnanja iz odstavka 2 tega člena vsebuje mehanizme, ki organu iz člena 41(1) omogočajo izvajanje obveznega spremljanja skladnosti z njegovimi določbami s strani upravljavcev ali obdelovalcev, ki se zavežejo k njegovi uporabi, brez poseganja v naloge in pooblastila nadzornih organov, pristojnih v skladu s členom 55 ali 56.

5.   Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.

6.   Kadar se osnutek kodeksa, sprememba ali razširitev odobri v skladu z odstavkom 5 in kadar se zadevni kodeks ravnanja ne nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ kodeks registrira in objavi.

7.   Kadar se osnutek kodeksa ravnanja nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ, ki je pristojen v skladu s členom 55, pred odobritvijo osnutka kodeksa, spremembe ali razširitve predloži v postopek iz člena 63 odboru, ki poda mnenje o tem, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo oziroma v primeru iz odstavka 3 tega člena zagotavlja ustrezne zaščitne ukrepe.

8.   Kadar mnenje iz odstavka 7 potrdi, da so osnutek kodeksa, spremembo ali razširitev skladni s to uredbo ali v primeru iz odstavka 3 zagotavljajo ustrezne zaščitne ukrepe, odbor svoje mnenje predloži Komisiji.

9.   Komisija lahko z izvedbenimi akti sklene, da so odobren kodeks ravnanja, sprememba ali razširitev, ki so ji bili predloženi na podlagi odstavka 8 tega člena, v Uniji splošno veljavni. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

10.   Komisija zagotovi ustrezno objavo odobrenih kodeksov, za katere je v skladu z odstavkom 9 sklenila, da so splošno veljavni.

11.   Odbor zbira vse odobrene kodekse ravnanja, spremembe in razširitve v registru in jih objavi na ustrezne načine.

Člen 42

Potrjevanje

1.   Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov za dokazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Upoštevajo se posebne potrebe mikro, malih in srednjih podjetij.

2.   Poleg tega, da se mehanizmi potrjevanja, pečate ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za dokazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2). Takšni upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3.   Potrjevanje je prostovoljno in se zagotavlja v okviru postopka, ki je pregleden.

4.   Potrdilo v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5.   Potrdilo v skladu s tem členom izdajo organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno potrjevanje, evropski pečat za varstvo podatkov.

6   Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem potrjevanja, organu za potrjevanje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka potrjevanja.

7.   Potrdilo se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, potrdilo prekličejo, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.

8.   Odbor zbira v registru vse mehanizme potrjevanja ter pečate in označbe za varstvo podatkov in jih objavi na kakšne koli ustrezne načine.

Člen 43

Organi za potrjevanje

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 potrdilo izda in podaljša organ za potrjevanje, ki ima ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer potem, ko obvesti nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ti organi za potrjevanje pooblaščeni s strani enega ali obeh od naslednjih:

(a)	nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)	nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (20) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2.   Organi za potrjevanje iz odstavka 1 se lahko v skladu z navedenim odstavkom pooblastijo le, kadar so:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazali svojo neodvisnost in strokovno znanje v zvezi z vsebino potrjevanja;

(b)	se zavezali, da bodo izpolnjevali merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)	vzpostavili postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov;

(d)	vzpostavili postopke in strukture za obravnavanje pritožb zaradi kršitev potrjevanja ali načina, kako je potrjevanje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)	pristojnemu nadzornemu organu zadovoljivo dokazali, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Organi za potrjevanje iz odstavkov 1 in 2 tega člena se pooblastijo na podlagi meril, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru pooblastitve iz točke (c) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje.

4.   Organi za potrjevanje iz odstavka 1 so odgovorni za ustrezno ocenjevanje, ki privede do potrdila ali preklica takšnega potrdila, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Pooblastilo se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če organ za potrjevanje izpolnjuje zahteve, določene v tem členu.

5.   Organi za potrjevanje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega potrdila.

6.   Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru. Odbor zbira v registru vse mehanizme potrjevanja in pečate za varstvo podatkov ter jih objavi na kakršne koli ustrezne načine.

7.   Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče pooblastilo organu za potrjevanje na podlagi odstavka 1 tega člena, kadar pogoji za pooblastilo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ za potrjevanje, kršijo to uredbo.

8.   Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme potrjevanja za varstvo podatkov iz člena 42(1).

9.   Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

POGLAVJE V

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Člen 45

Prenosi na podlagi sklepa o ustreznosti

1.   Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2.   Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3.   Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).

4.   Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.

5.   Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6.   Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7.   Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.

8.   Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

9.   Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.

Člen 46

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Kadar sklep v skladu s členom 45(3) ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje nadzornih organov, zagotovijo s:

(a)	pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)	zavezujočimi poslovnimi pravili v skladu s členom 47;

(c)	standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 93(2);

(d)	standardnimi določili o varstvu podatkov, ki jih sprejme nadzorni organ in odobri Komisija v skladu s postopkom pregleda iz člena 93(2);

(e)	odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali

(f)	odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem ustreznega nadzornega organa zagotovijo tudi zlasti s:

(a)	pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)	določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

4.   Nadzorni organ v primerih iz odstavka 3 tega člena uporabi mehanizem za skladnost iz člena 63.

5.   Dovoljenja države članice ali nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavna, dokler jih zadevni nadzorni organ ne spremeni, nadomesti ali razveljavi, če je to potrebno. Odločitve, ki jih je Komisija sprejela na podlagi člena 26(4) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi, če je to potrebno, z odločitvijo, sprejeto v skladu z odstavkom 2 tega člena.

Člen 47

Zavezujoča poslovna pravila

1.   Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:

(a)	so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;

(b)	posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter

(c)	izpolnjujejo zahteve iz odstavka 2.

2.   Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:

(a)	strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;

(b)	prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;

(c)	njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;

(g)	kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;

(h)

naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;

(i)	pritožbene postopke;

(j)

mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;

(k)	mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;

(l)	mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);

(m)	mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in

(n)	ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.

3.   Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 50

Mednarodno sodelovanje za varstvo osebnih podatkov

Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:

(a)	oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)	vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)	spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

Neodvisni nadzorni organi

Oddelek 1

Status neodvisnosti

Člen 61

Medsebojna pomoč

1.   Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2.   Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3.   Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4.   Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)	ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)	bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5.   Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6.   Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7.   Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8.   Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9.   Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 62

Skupno ukrepanje nadzornih organov

1.   Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2.   Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. Pristojni nadzorni organ, ki je pristojen na podlagi člena 56(1) ali (4), k sodelovanju pri skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se brez odlašanja odzove na zahtevo nadzornega organa za sodelovanje.

3.   Nadzorni organ lahko v skladu s pravom držav članic in z dovoljenjem nadzornega organa druge države članice dodeli pooblastila, tudi preiskovalna, članom ali osebju nadzornega organa druge države članice, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu države članice nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa druge države članice dovoli izvajanje njihovih preiskovalnih pooblastil v skladu s pravom države članice nadzornega organa druge države članice. Takšna preiskovalna pooblastila se lahko izvajajo samo pod vodstvom in v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja pravo države članice nadzornega organa gostitelja.

4.   Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, tudi kazensko odgovornost, za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.

5.   Država članica, na ozemlju katere je bila povzročena škoda, tako škodo poravna pod pogoji, ki veljajo za škodo, ki jo povzroči njeno lastno osebje. Država članica nadzornega organa druge države članice, katere osebje povzroči škodo kateri koli osebi na ozemlju druge države članice, tej drugi državi članici v celoti povrne vse zneske, ki jih je ta izplačala upravičenim osebam.

6.   V primeru iz odstavka 1 vsaka država članica brez poseganja v uresničevanje svojih pravic do tretjih oseb in z izjemo odstavka 5 od druge države članice ne zahteva povračila škode iz odstavka 4.

7.   Kadar se načrtuje skupno ukrepanje in nadzorni organ v enem mesecu ne izpolni obveznosti iz drugega stavka odstavka 2 tega člena, lahko drugi nadzorni organi v skladu s členom 55 sprejmejo začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujno mnenje ali nujna zavezujoča odločitev odbora.

Oddelek 2

Skladnost

Člen 65

Reševanje sporov s strani odbora

1.   Da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, odbor sprejme zavezujočo odločitev v naslednjih primerih:

(a)

kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega organa ali če je vodilni organ zavrnil tak ugovor kot neustrezen ali neutemeljen. Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;

(b)	kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavni sedež;

(c)	kadar pristojni nadzorni organ ne zaprosi za mnenje odbora v primerih iz člena 64(1) ali ne upošteva mnenja odbora, izdanega na podlagi člena 64. V tem primeru lahko kateri koli zadevni nadzorni organ ali Komisija zadevo posreduje odboru.

2.   Odločitev iz odstavka 1 se sprejme v enem mesecu od predložitve vsebine z dvotretjinsko večino članov odbora. To obdobje se lahko zaradi kompleksnosti vsebine podaljša za en mesec. Odločitev iz odstavka 1 se utemelji ter naslovi na vodilni nadzorni organ in vse zadevne nadzorne organe ter je za vse zavezujoča.

3.   Kadar odboru v obdobjih iz odstavka 2 ne uspe sprejeti odločitve, sprejme odločitev v dveh tednih po izteku drugega meseca iz odstavka 2, in sicer z navadno večino članov odbora. Kadar so glasovi članov odbora izenačeni, se odločitev sprejme z glasovanjem predsednika odbora.

4.   Zadevni nadzorni organi ne sprejmejo odločitve o vsebini, predloženi odboru v skladu z odstavkom 1, v obdobjih iz odstavkov 2 in 3.

5.   Predsednik odbora zadevne nadzorne organe brez nepotrebnega odlašanja uradno obvesti o odločitvi iz odstavka 1. O tem obvesti Komisijo. Odločitev se brez odlašanja objavi na spletnem mestu odbora, potem ko nadzorni organ uradno sporoči končno odločitev iz odstavka 6.

6.   Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, končno odločitev sprejme na podlagi odločitve iz odstavka 1 tega člena, brez nepotrebnega odlašanja in najpozneje en mesec po uradnem posredovanju odločitve odbora. Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, obvesti odbor o datumu, ko so upravljavec ali obdelovalec in posameznik, na katerega se nanašajo osebni podatki, uradno obveščeni o njegovi končni odločitvi. Končna odločitev zadevnih nadzornih organov se sprejme pod pogoji iz člena 60(7), (8) in (9). Končna odločitev se nanaša na odločitev iz odstavka 1 tega člena, v njej pa je navedeno, da se odločitev iz odstavka 1 objavi na spletnem mestu odbora v skladu z odstavkom 5 tega člena. Končni odločitvi je priložena odločitev iz odstavka 1 tega člena.

Člen 67

Izmenjava informacij

Komisija lahko sprejme izvedbene akte, ki se splošno uporabljajo, s katerimi določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz člena 64.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Oddelek 3

Evropski odbor za varstvo podatkov

Člen 70

Naloge odbora

1.   Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:

(a)	spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

(b)	svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(c)	svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

(d)	izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

(e)	na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

(f)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(h)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varstva osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

(i)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

(j)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

(k)	pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

(l)	pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);

(m)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

(n)	spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

(o)	pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)	določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;

(q)	Komisiji predloži mnenje o zahtevah glede potrjevanja iz člena 43(8);

(r)	Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

(s)

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

(t)	izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

(u)	spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(v)	spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

(w)	spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(x)	izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

(y)	vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

2.   Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3.   Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.   Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.

Člen 83

Splošni pogoji za naložitev upravnih glob

1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)	narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)	ali je kršitev naklepna ali posledica malomarnosti;

(c)	vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(d)	stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;

(e)	vse zadevne predhodne kršitve upravljavca ali obdelovalca;

(f)	stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(g)	vrste osebnih podatkov, ki jih zadeva kršitev,

(h)	kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;

(i)	kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;

(j)	zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom potrjevanja v skladu s členom 42, in

(k)	morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

(b)	obveznosti organa za potrjevanje v skladu s členoma 42 in 43;

(c)	obveznosti organa za spremljanje v skladu s členom 41(4).

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;

(b)	pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;

(c)	prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;

(d)	katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;

(e)	neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).

6.   V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7.   Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.

8.   Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

9.   Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.

Člen 84

Kazni

1.   Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.

2.   Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme na podlagi odstavka 1, do 25. maja 2018 in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva

POGLAVJE IX

Določbe o posebnih primerih obdelave

Člen 89

Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

1.   Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo podatki, se ti nameni uresničijo na ta način.

2.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

3.   Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18, 19, 20 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, če bi takšne pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4.   Kadar vrsta obdelave iz odstavkov 2 in 3 hkrati izpolnjuje tudi drug namen, se dovoljena odstopanja uporabijo le za obdelavo v namene iz navedenih odstavkov.

Člen 90

Obveznost varovanja skrivnosti

1.   Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.

2.   Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.