interactive GDPR 2016/0679 SL

(4) Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem.

  Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami.

  Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost.

(6) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov.

  Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal.

  Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za dosego svojih ciljev v obsegu, kakršnega še ni bilo.

  Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno.

  Tehnologija je spremenila tako gospodarstvo kot družbeno življenje ter bi morala še naprej omogočati lažje izvajanje prostega pretoka osebnih podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah.

  V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov.

  Kar zadeva obdelavo osebnih podatkov z namenom izpolnjevanja pravne obveznosti, za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu, bi moralo biti državam članicam dovoljeno ohraniti ali uvesti nacionalne določbe za podrobnejšo opredelitev uporabe pravil iz te uredbe.

  Države članice so v povezavi s splošnim in horizontalnim pravom o varstvu podatkov, s katerim se izvaja Direktiva 95/46/ES, sprejele več področnih zakonov na področjih, kjer so potrebne podrobnejše določbe.

  Tudi ta uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov („občutljivi podatki“).

  V tem obsegu ta uredba ne izključuje prava držav članic, s katerim so opredeljene okoliščine posebnih primerov obdelave, vključno s podrobnejšo določitvijo pogojev, pod katerimi je obdelava osebnih podatkov zakonita.

(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.

(17) Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije.

  Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v tej uredbi, in jih uporabljati ob upoštevanju te uredbe.

  Za zagotovitev trdnega in usklajenega okvira varstva podatkov v Uniji bi bilo treba po sprejetju te uredbe prilagoditi tudi Uredbo (ES) št. 45/2001, da bi se lahko začela uporabljati sočasno s to uredbo.

(23) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi se morala za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, uporabljati ta uredba, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ne glede na to, ali so povezane s plačilom.

  Za ugotovitev, ali tak upravljavec ali obdelovalec nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki so v Uniji, bi bilo treba ugotoviti, ali je jasno, da namerava upravljavec ali obdelovalec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije.

  Medtem ko sama dostopnost spletne strani upravljavca, obdelovalca ali posrednika v Uniji, elektronskega naslova ali drugih kontaktnih podatkov ali uporaba jezika, ki se na splošno uporablja v tretji državi, v kateri ima upravljavec sedež, ne zadošča za ugotovitev takšnega namena, se lahko z dejavniki, kot so uporaba jezika ali valute, ki se na splošno uporablja v eni ali več državah članicah, z možnostjo naročanja blaga in storitev v tem drugem jeziku, ali navedba strank ali uporabnikov, ki so v Uniji, jasno pokaže, da želi upravljavec nuditi blago ali storitve posameznikom, na katere se nanašajo osebni podatki, v Uniji.

(24) Za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, bi se prav tako morala uporabljati ta uredba, kadar je obdelava povezana s spremljanjem vedenja takih posameznikov, na katere se nanašajo osebni podatki, kolikor njihovo vedenje poteka v Uniji.

  Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da spremlja vedenje posameznikov, na katere se nanašajo osebni podatki, bi bilo treba ugotoviti, ali se posameznikom sledi na internetu, kar vključuje morebitno naknadno uporabo tehnik obdelave osebnih podatkov, ki obsegajo oblikovanje profila posameznika, zlasti z namenom sprejemanja odločitev o njem oziroma za analiziranje ali predvidevanje njegovega osebnega okusa in vedenja.

(26) Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom.

  Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku.

  Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika.

  Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave.

  Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije,in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv.

  Ta uredba torej ne zadeva obdelave takšnih anonimiziranih informacij, vključno z informacijami v statistične ali raziskovalne namene.

(29) Za spodbuditev uporabe psevdonimizacije pri obdelavi osebnih podatkov bi bilo treba zagotoviti, da se v okviru istega upravljavca lahko hkrati sprejmejo ukrepi za psevdonimizacijo in opravi splošna analiza, če je ta upravljavec sprejel potrebne tehnične in organizacijske ukrepe za zagotovitev, da se v zvezi z zadevno obdelavo izvaja ta uredba in da se dodatne informacije, na podlagi katerih se osebni podatki lahko pripišejo določenemu posamezniku, na katerega se nanašajo osebni podatki, hranijo ločeno.

  Upravljavec, ki obdeluje osebne podatke, bi moral navesti pooblaščene osebe v okviru istega upravljavca.

(32) Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.

  To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov.

  Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.

  Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene.

  Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

(36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež.

  Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev.

  To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju.

  Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež.

  Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji.

  V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi.

  Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca.

  Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.

(37) Povezana družba bi morala zajemati obvladujočo družbo in njene odvisne družbe, pri čemer bi obvladujoča družba morala biti družba, ki ima lahko na druge družbe odločilen vpliv, na primer zaradi lastništva, finančne udeležbe v njih ali pravil, ki se nanje nanašajo, ali zaradi pooblastila za izvajanje predpisov o varstvu osebnih podatkov.

  Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo.

(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena.

  Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni.

  Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku.

  To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi.

  Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo.

  Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov.

  Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

  Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje.

  Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi.

  Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.

  Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov.

  Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

(51) Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine.

  Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras.

  Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika.

  Takšni osebni podatki se ne bi smeli obdelovati, razen če je obdelava dovoljena v posebnih primerih iz te uredbe, pri čemer je treba upoštevati, da se lahko v pravu držav članic opredelijo posebne določbe o varstvu podatkov, s katerimi se prilagodi uporaba pravil iz te uredbe zaradi izpolnjevanja pravne obveznosti ali zaradi izvajanja naloge v javnem interesu ali izvajanja javne oblasti, dodeljene upravljavcu.

  Poleg posebnih zahtev za takšno obdelavo bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave.

  Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočiti uresničevanje temeljnih svoboščin.

(53) Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva, vključno z obdelavo takšnih podatkov s strani uprave in osrednjih nacionalnih zdravstvenih organov zaradi nadzora kakovosti, upravljanja informacij ter splošnega nacionalnega in lokalnega nadzora sistema zdravstvenega ali socialnega varstva, ter zagotavljanja neprekinjenosti zdravstvenega ali socialnega varstva in čezmejnega zdravstvenega varstva ali zaradi zdravstvene varnosti, spremljanja in opozarjanja ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije ali prava držav članic, ki mora izpolnjevati cilj javnega interesa, pa tudi v okviru študij v javnem interesu, ki se izvajajo na področju javnega zdravja.

  Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti.

  V pravu Unije ali pravu držav članic bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov.

  Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju.

  To pa ne bi smelo ovirati prostega pretoka osebnih podatkov v Uniji, kadar ti pogoji veljajo za čezmejno obdelavo takih podatkov.

(54) Obdelava posebnih vrst osebnih podatkov je lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki.

  Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov.

  V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljen v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta (11), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti.

  Zaradi take obdelave podatkov v zvezi z zdravjem iz razlogov javnega interesa tretje osebe, kot so delodajalci ali zavarovalnice in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene.

(59) Zagotoviti bi bilo treba načine za lažje uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz te uredbe, vključno z mehanizmi, s katerimi se zahtevajo in po potrebi brezplačno pridobijo zlasti dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ter uresničuje pravica do ugovora.

  Upravljavec bi zato moral omogočiti tudi elektronsko vlaganje zahtev, zlasti kadar se osebni podatki obdelujejo z elektronskimi sredstvi.

  Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja in najpozneje v enem mesecu in da v primeru, ko ne namerava izpolniti take zahteve, to utemelji.

(60) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih.

  Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov.

  Poleg tega bi moral biti ta posameznik obveščen o obstoju oblikovanja profilov in njegovih posledicah.

  Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, bi ga bilo treba obvestiti tudi o tem, ali je dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži.

  Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave.

  Kadar so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

(61) Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera.

  Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku.

  Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije.

  Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

(66) Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov.

  Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

(67) Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale začasni prenos izbranih podatkov v drug sistem za obdelavo, preprečitev dostopnosti izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletne strani.

  Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi na način, da se osebni podatki nadalje več ne obdelujejo in jih ni mogoče spremeniti.

  Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v zbirki.

(68) Da bi še dodatno okrepili nadzor nad lastnimi podatki, kadar se obdelava osebnih podatkov izvaja z avtomatskimi sredstvi, bi moral posameznik, na katerega se nanašajo osebni podatki, imeti tudi možnost, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani, strojno berljivi in interoperabilni obliki in jih posreduje drugemu upravljavcu.

  Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov.

  Ta pravica bi morala veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, te podatke zagotovil na podlagi svoje privolitve ali kadar je obdelava potrebna za izvajanje pogodbe.

  Ne bi pa smela veljati, kadar obdelava temelji na pravni osnovi, ki ni privolitev ali pogodba.

  Ta pravica se po svoji naravi ne bi smela uveljavljati zoper upravljavce, ki obdelujejo osebne podatke v okviru svojih nalog v javnem interesu.

  Zato ne bi smela veljati, kadar je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu.

  Pravica posameznika, na katerega se nanašajo osebni podatki, do posredovanja ali prejemanja osebnih podatkov v zvezi z njim ne bi smela ustvariti obveznosti za upravljavca, da mora sprejeti ali vzdrževati sisteme za obdelavo, ki so tehnično združljivi.

  Kadar določeni niz osebnih podatkov zadeva več kot enega posameznika, na katerega se ti podatki nanašajo, pravica do prejemanja osebnih podatkov ne bi smela posegati v pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo.

  Poleg tega ta pravica ne bi smela posegati v pravico posameznika, na katerega se nanašajo osebni podatki, da zahteva izbris osebnih podatkov, in v omejitve te pravice, kakor je določeno v tej uredbi, zlasti pa ne bi smela pomeniti izbrisa osebnih podatkov, ki jih je posameznik, na katerega se ti nanašajo, zagotovil za izvajanje pogodbe, in sicer kolikor in dokler so osebni podatki potrebni za izvajanje te pogodbe.

  Kadar je to tehnično izvedljivo, bi posameznik, na katerega se nanašajo osebni podatki, moral imeti pravico doseči, da se osebni podatki prenesejo neposredno od enega upravljavca k drugemu.

(70) Kadar se osebni podatki obdelujejo za namene neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi, bodisi prvotni ali nadaljnji, vključno z oblikovanjem profila, kolikor je povezano s takšnim neposrednim trženjem, kadar koli in brezplačno ugovarja.

  Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba na to pravico izrecno opozoriti ter jo predstaviti jasno in ločeno od katerih koli drugih informacij.

(74) Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu.

  Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov.

  Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

(76) Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave.

  Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

(78) Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti ustrezne tehnične in organizacijske ukrepe, da bi zagotovili izpolnitev zahtev iz te uredbe.

  Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov.

  Ti ukrepi bi med drugim lahko vključevali minimizacijo obdelave osebnih podatkov, čimprejšnjo psevdonimizacijo osebnih podatkov, preglednost pri nalogah in obdelavi osebnih podatkov, omogočanje posameznikom, na katere se nanašajo osebni podatki, da spremljajo obdelavo podatkov, in omogočanje upravljavcu, da vzpostavi in izboljša varnostne ukrepe.

  Pri razvoju, oblikovanju, izboru in uporabi aplikacij, storitev in produktov, ki temeljijo na obdelavi osebnih podatkov ali ki pri opravljanju svoje funkcije obdelujejo osebne podatke, bi bilo treba proizvajalce produktov, storitev in aplikacij spodbujati, da pri razvoju in oblikovanju takih produktov, storitev in aplikacij upoštevajo pravico do varstva podatkov ter ob ustreznem upoštevanju najnovejšega tehnološkega razvoja, zagotovijo, da so upravljavci in obdelovalci zmožni izpolnjevati svoje obveznosti varstva podatkov.

  Načeli vgrajenega in privzetega varstva podatkov bi morali biti upoštevani tudi pri javnih razpisih.

(83) Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje.

  Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati.

  Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

(84) Za povečanje skladnosti s to uredbo, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov, da bi ocenili predvsem izvor, naravo, posebnost in resnost tega tveganja.

  Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu s to uredbo.

  Kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z nadzornim organom.

(85) Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda.

  V primeru kršitve varstva osebnih podatkov bi moral upravljavec zato o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.

  Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.

(86) Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da bi se ta lahko ustrezno zavaroval.

  Sporočilo bi moralo vsebovati opis narave kršitve varstva osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov.

  Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti tako sporočilo, kakor hitro je to razumno mogoče in v tesnem sodelovanju z nadzornim organom ter ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi, kot so organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj.

  Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo sporočilo posameznikom, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varnosti osebnih podatkov pa bi lahko upravičila daljši rok za sporočilo.

(87) Preveriti bi bilo treba, ali so bili izvedeni vsi ustrezni tehnološki zaščitni in organizacijski ukrepi, da bi takoj ugotovili, ali je prišlo do kršitve varstva osebnih podatkov, ter o tem nemudoma obvestili nadzorni organ in posameznika, na katerega se nanašajo osebni podatki.

  Dejstvo, ali je bilo obvestilo poslano nemudoma, bi bilo treba ugotoviti ob upoštevanju zlasti narave in teže kršitve varstva osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki.

  Na podlagi takšnega obvestila lahko nadzorni organ ukrepa v skladu s svojimi nalogami in pristojnostmi, določenimi v tej uredbi.

(88) Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varstva osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe.

  Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati zakoniti interes organov kazenskega pregona, kadar bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve varstva osebnih podatkov.

(89) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov.

  Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov.

  Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov.

  Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

(91) To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic.

  Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih.

  Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu.

  Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika.

  V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

(93) V okviru sprejetja prava držav članic, na katerem temelji opravljanje nalog javnega organa ali telesa in ki ureja zadevne posebna dejanja obdelave ali nize dejanj, lahko države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

(96) Prav tako bi bilo treba opraviti posvetovanje z nadzornim organom pri oblikovanju zakonodajnega ali regulativnega ukrepa o obdelavi osebnih podatkov, da bi zagotovili skladnost načrtovane obdelave s to uredbo in zlasti ublažili tveganje za posameznika, na katerega se nanašajo osebni podatki.

(97) Kadar obdelavo izvaja javni organ, razen sodišč ali neodvisnih pravosodnih organov, kadar delujejo kot sodni organi, ali kadar v zasebnem sektorju obdelavo izvaja upravljavec, katerega temeljne dejavnosti obsegajo dejanja obdelave, ki zahtevajo obsežno redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami in prekrški, bi morala upravljavcu ali obdelovalcu pri spremljanju notranje skladnosti s to uredbo pomagati oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks.

  V zasebnem sektorju se temeljne dejavnosti upravljavca nanašajo na njegove osnovne dejavnosti in ne na obdelavo osebnih podatkov kot postranske dejavnosti.

  Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedena dejanja obdelave podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca ali obdelovalca.

  Taka pooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

(98) Združenja ali druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, bi bilo treba spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, ter posebnih potreb mikro, malih in srednjih podjetij, pripravijo kodekse ravnanja za pospeševanje učinkovite uporabe te uredbe.

  S takimi kodeksi ravnanja bi lahko določili obveznosti upravljavcev in obdelovalcev ob upoštevanju tveganja za pravice in svoboščine posameznikov, ki bo verjetno izhajalo iz obdelave.

(100) Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro ocenijo raven varstva podatkov zadevnih proizvodov in storitev.

(104) Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države ali ozemlja ali določenega sektorja v tretji državi upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, nacionalne varnosti ter javnega reda in kazenskega prava.

  Pri sprejetju sklepa o ustreznosti glede ozemlja ali določenega sektorja v tretji državi bi bilo treba upoštevati jasna in objektivna merila, kot so posebne dejavnosti obdelave ter področje uporabe veljavnih pravnih standardov in veljavne zakonodaje v tretji državi.

  Tretja država bi morala nuditi jamstva, ki zagotavljajo ustrezno raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v Uniji, zlasti kadar se osebni podatki obdelujejo v enem ali več določenih sektorjih.

  Zlasti bi morala zagotavljati učinkovit neodvisen nadzor varstva podatkov ter mehanizme sodelovanja z organi za varstvo podatkov držav članic, posamezniki, na katere se nanašajo osebni podatki, pa bi morali imeti učinkovite in izvršljive pravice ter dostop do učinkovitega upravnega in sodnega varstva.

(105) Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti.

  Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28.

  januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji.

  Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z odborom.

(106) Komisija bi morala spremljati delovanje sklepov o ravni varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali mednarodni organizaciji, in spremljati delovanje odločitev, sprejetih na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES.

  V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega delovanja.

  Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter hkrati upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji.

  Komisija bi morala za namene spremljanja in izvajanja rednih pregledov upoštevati stališča in ugotovitve Evropskega parlamenta in Sveta ter drugih ustreznih organov in virov.

  Komisija bi morala v razumnem roku oceniti delovanje navedenih sklepov in o zadevnih ugotovitvah poročati odboru v smislu Uredbe (EU) št. 182/2001 Evropskega parlamenta in Sveta (12), kakor je ustanovljen s to uredbo, Evropskemu parlamentu in Svetu.

(108) Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, na podlagi katerih pomanjkanje varstva podatkov v tretji državi nadomestijo z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki.

  Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ.

  S temi zaščitnimi ukrepi bi bilo treba zagotoviti skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj Unije, vključno z razpoložljivostjo izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, in učinkovitih pravnih sredstev, tudi pravico do učinkovitega upravnega ali sodnega varstva ali odškodnine, v Uniji ali tretji državi.

  Nanašati bi se morali zlasti na skladnost s splošnimi načeli v zvezi z obdelavo osebnih podatkov ter načeli vgrajenega in prevzetega varstva podatkov.

  Prenose z javnimi organi ali telesi v tretjih državah oziroma z mednarodnimi organizacijami z ustreznimi nalogami ali funkcijami lahko opravijo tudi javni organi ali telesa, tudi na podlagi določb, ki se vključijo v upravne dogovore, kot je memorandum o soglasju, s katerimi se zagotavljajo izvršljive in učinkovite pravice posameznikov, na katere se nanašajo osebni podatki.

  Kadar so zaščitni ukrepi določeni v upravnih dogovorih, ki niso pravno zavezujoči, bi bilo treba pridobiti dovoljenje pristojnega nadzornega organa.

(109) Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcem ali obdelovalcem ne bi smela preprečiti niti, da standardna določila o varstvu podatkov vključijo v obsežnejšo pogodbo, kot je pogodba med obdelovalcem in drugim obdelovalcem, niti da dodajo druga določila ali dodatne zaščitne ukrepe, če ti neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom Komisije ali nadzornega organa ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

  Upravljavce in obdelovalce bi bilo treba spodbujati, da vzpostavijo dodatne zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardna zaščitna določila.

(111) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi.

  Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije ali pravom držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom.

  V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

(112) Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, med finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu.

  Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu držav članic zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo.

  Države članice bi morale o takšnih določbah uradno obvestiti Komisijo.

  Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

(113) Prenosi, ki jih je mogoče obravnavati kot neponavljajoče in se nanašajo le na omejeno število posameznikov, na katere se nanašajo osebni podatki, bi lahko bili mogoči tudi zaradi nujnih zakonitih interesov upravljavca, kadar nad takimi interesi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in če je upravljavec ocenil vse okoliščine, povezane s prenosom podatkov.

  Upravljavec bi moral posebno pozornost nameniti naravi osebnih podatkov, namenu in trajanju predlaganega dejanja ali dejanj obdelave ter razmeram v državi izvora, tretji državi in končni namembni državi in določiti ustrezno zaščito za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi njihovih osebnih podatkov.

  Taki prenosi naj bi bili mogoči le v preostalih primerih, kadar ni mogoče uporabiti nobenih drugih podlag za prenos.

  Pri obdelavi v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba upoštevati legitimna pričakovanja družbe po obsežnejšem znanju.

  Upravljavec bi moral o prenosu obvestiti nadzorni organ in posameznika, na katerega se nanašajo osebni podatki.

(116) Pri čezmejnem prenosu osebnih podatkov zunaj Unije se lahko poveča tveganje v zvezi z zmožnostjo posameznikov za uresničevanje pravic do varstva podatkov, zlasti da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov.

  Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja.

  Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev virov.

  Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov, da bi jim pomagali izmenjavati informacije in izvajati preiskave s tujimi nadzornimi organi za varstvo podatkov.

  Komisija in nadzorni organi bi morali za namene oblikovanja mednarodnih mehanizmov za sodelovanje, s katerimi bi olajšali in zagotavljali mednarodno medsebojno pomoč za izvrševanje zakonodaje za zaščito osebnih podatkov, izmenjevati informacije in sodelovati pri dejavnostih, povezanih z izvajanjem svojih pooblastil, s pristojnimi organi v tretjih državah, in sicer na podlagi vzajemnosti in v skladu s to uredbo.

(124) Kadar obdelava osebnih podatkov poteka v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici ali kadar obdelava, ki poteka v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca v Uniji, znatno vpliva oziroma bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, bi moral nadzorni organ za glavni sedež upravljavca ali obdelovalca ali za edini sedež upravljavca ali obdelovalca delovati kot vodilni organ.

  Sodelovati bi moral z drugimi zadevnimi organi, ker ima upravljavec ali obdelovalec sedež na ozemlju njihove države članice, ker obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njihovem ozemlju, ali ker je bila pri njih vložena pritožba. Četudi je pritožbo vložil posameznik, na katerega se nanašajo osebni podatki in ki ne prebiva v zadevni državi članici, bi moral biti nadzorni organ, pri katerem je bila vložena pritožba, tudi zadevni nadzorni organ.

  Odbor bi moral imeti možnost, da v okviru svojih nalog izdajanja smernic za vsako vprašanje v zvezi z uporabo te uredbe izda smernice zlasti glede meril, ki jih je treba upoštevati, da se ugotovi, ali zadevna obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, in glede tega, kaj so ustrezni in utemeljeni razlogi za ugovor.

(129) Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, hkrati pa ne bi smeli vplivati na pooblastila organov, pristojnih za pregon v skladu s pravom držav članic, da sodne organe opozorijo na kršitve te uredbe in sodelujejo v sodnih postopkih.

  Taka pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali dokončne omejitve ali prepoved obdelave.

  Države članice lahko določijo še druge naloge, povezane z varstvom osebnih podatkov v skladu s to uredbo.

  Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi v pravu Unije in pravu držav članic.

  Zlasti bi moral biti vsak ukrep ustrezen, potreben in sorazmeren, da se zagotovi skladnost s to uredbo, pri tem pa se upoštevajo okoliščine posameznega primera, spoštuje pravica vsake osebe, da izrazi svoje mnenje, preden se sprejme kakršen koli posamezen ukrep, ki bi imel zanjo negativne posledice, ter preprečijo nepotrebni stroški in pretirane nevšečnosti za vpletene osebe.

  Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami postopkovnega prava držav članic, kot je na primer zahteva pridobitve predhodnega sodnega dovoljenja.

  Vsak pravno zavezujoč ukrep nadzornega organa bi moral biti v pisni obliki, jasen in nedvoumen, v njem pa bi morala biti navedena nadzorni organ, ki je ukrep izdal, in datum izdaje ukrepa, podpisati bi ga moral vodja ali član nadzornega organa, ki ga ta pooblasti, vsebovati bi moral razloge za ukrep ter sklic na pravico do učinkovitega pravnega sredstva.

  To ne bi smelo izključevati dodatnih zahtev v skladu s postopkovnim pravom držav članic.

  Sprejetje pravno zavezujoče odločitve pomeni, da je lahko v državi članici nadzornega organa, ki jo je sprejel, predmet sodne presoje.

(131) Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila.

  To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

(135) Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi.

  Ta mehanizem bi bilo treba uporabljati zlasti v primerih, ko namerava nadzorni organ sprejeti ukrep, katerega namen je doseči pravne učinke v zvezi z dejanji obdelave, ki bistveno vplivajo na veliko število posameznikov, na katere se nanašajo osebni podatki, v več državah članicah.

  Uporabljati bi se moral tudi, kadar kateri koli zadevni nadzorni organ ali Komisija zahteva, naj se taka zadeva obravnava v mehanizmu za skladnost.

  Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

(137) Lahko se pojavi nujna potreba po ukrepanju za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi lahko bilo uresničevanje pravice posameznika, na katerega se nanašajo osebni podatki, močno ovirano.

  Nadzorni organ bi zato moral imeti možnost,da na ozemlju, na katerem deluje, sprejme ustrezno utemeljene začasne ukrepe z določenim obdobjem veljavnosti, ki ne bi smelo biti daljše od treh mesecev.

(138) Uporaba takega mehanizma bi morala biti pogoj za zakonitost ukrepa, katerega namen je doseči pravne učinke, ki ga sprejme nadzorni organ v primerih, v katerih je uporaba tega mehanizma obvezna.

  V drugih primerih čezmejnega pomena bi bilo treba uporabiti mehanizem sodelovanja med vodilnim nadzornim organom in zadevnimi nadzornimi organi, med zadevnimi nadzornimi organi pa bi se lahko izvajala medsebojna pomoč in skupno ukrepanje na dvostranski ali večstranski podlagi, ne da bi pri tem sprožili mehanizem za skladnost.

(139) Za spodbujanje dosledne uporabe te uredbe bi bilo treba odbor ustanoviti kot neodvisen organ Unije.

  Odbor bi moral biti zaradi doseganja svojih ciljev pravna oseba.

  Zastopati bi ga moral njegov predsednik.

  Moral bi nadomestiti Delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES.

  Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.

  Komisija bi morala pri dejavnostih odbora sodelovati brez glasovalnih pravic, Evropski nadzornik za varstvo podatkov pa bi moral imeti posebne glasovalne pravice.

  Odbor bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji, zlasti o ravni varstva v tretjih državah ali mednarodnih organizacijah, in spodbujanjem sodelovanja nadzornih organov v vsej Uniji.

  Pri opravljanju svojih nalog bi moral delovati neodvisno.

(141) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu, zlasti v državi članici svojega običajnega prebivališča, in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

  Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločitev nadzornega organa predmet sodne presoje.

  Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v ustreznem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

  Za poenostavitev postopka vložitve pritožbe bi moral vsak nadzorni organ sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo.

  Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo.

  Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe.

  To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice.

  Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe.

  Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.

  Kadar so upravljavci ali obdelovalci vključeni v isto obdelavo, bi moral biti vsak upravljavec ali obdelovalec odgovoren za celotno škodo.

  Kadar pa so upravljavci ali obdelovalci združeni v isti sodni postopek v skladu s pravom države članice, se lahko odškodnina porazdeli v skladu z odgovornostjo vsakega upravljavca ali obdelovalca za škodo, ki je bila povzročena zaradi obdelave, če je zagotovljeno, da posameznik, na katerega se nanašajo osebni podatki in ki je škodo utrpel, prejme celotno in učinkovito odškodnino.

  Vsak upravljavec ali obdelovalec, ki je plačal celotno odškodnino, lahko naknadno začne postopek za povrnitev stroškov zoper druge upravljavce ali obdelovalce, vključene v isto obdelavo.

(148) Da bi okrepili izvrševanje pravil te uredbe, bi bilo treba poleg ustreznih ukrepov, ki jih v skladu s to uredbo naloži nadzorni organ, ali namesto njih za vsako kršitev uredbe uvesti kazni, vključno z upravnimi globami.

  V primeru manjših kršitev ali v primeru, ko bi globa, ki bi bila verjetno naložena, predstavljala nesorazmerno breme za fizično osebo, se lahko namesto globe izreče opomin.

  Vsekakor pa bi bilo treba ustrezno upoštevati naravo, težo in trajanje kršitve, namernost kršitve, sprejete ukrepe za ublažitev utrpljene škode, stopnjo odgovornosti ali morebitne pomembne predhodne kršitve, način, kako se je s kršitvijo seznanil nadzorni organ, skladnost z ukrepi, odrejenimi zoper upravljavca ali obdelovalca, zavezanost h kodeksu ravnanja in morebitne druge oteževalne ali olajševalne dejavnike.

  Za uvedbo kazni, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.

(153) Pravo držav članic bi moralo pravila, ki urejajo svobodo izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim in/ali književnim izražanjem, usklajevati s pravico do varstva osebnih podatkov v skladu s to uredbo.

  Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi akademskega, umetniškega ali literarnega izražanja, bi se morala uporabiti odstopanja ali izjeme od nekaterih določb te uredbe, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja in obveščanja, kakor je določena v členu 11 Listine.

  To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih.

  Zato bi morale države članice sprejeti zakonodajne ukrepe, v katerih bi bile določene izjeme in odstopanja, potrebna za uravnoteženje teh temeljnih pravic.

  Države članice bi morale take izjeme in odstopanja sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa osebnih podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov.

  Kadar se take izjeme ali odstopanja po državah članicah razlikujejo, bi se moralo uporabiti pravo države članice, ki velja za upravljavca.

  Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu.

(154) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe.

  Dostop javnosti do uradnih dokumentov se lahko šteje, da je v javnem interesu.

  Osebne podatke v dokumentih, s katerimi razpolaga javni organ ali telo, bi moral ta organ ali telo imeti možnost javno razkriti, če je to v skladu s pravom Unije ali pravom države članice, ki velja za ta javni organ ali telo.

  S tovrstno zakonodajo bi bilo treba dostop javnosti do uradnih dokumentov in ponovno uporabo informacij javnega sektorja uskladiti s pravico do varstva osebnih podatkov, zato so v njej lahko določene potrebne uskladitve s pravico do varstva osebnih podatkov v skladu s to uredbo.

  Sklicevanje na javne organe in telesa v tem okviru bi moralo vključevati vse organe ali druga telesa, zajeta s pravom držav članic o dostopu javnosti do dokumentov.

  Direktiva 2003/98/ES Evropskega parlamenta in Sveta (14) ne obravnava in na noben način ne vpliva na stopnjo varstva posameznikov pri obdelavi osebnih podatkov, ki jo določata pravo Unije in pravo držav članic, ter zlasti ne spreminja obveznosti in pravic iz te uredbe.

  Navedena direktiva se zlasti ne bi smela uporabljati za dokumente, do katerih ni dostopa ali do katerih režimi dostopa omejujejo dostop zaradi varstva osebnih podatkov, ter dele dokumentov, do katerih ti režimi dovoljujejo dostop, vendar vsebujejo osebne podatke, katerih ponovna uporaba je z zakonom opredeljena kot nezdružljiva s pravom o varstvu posameznikov pri obdelavi osebnih podatkov.

(156) Pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.

  S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov.

  Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov).

  Države članice bi morale zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.

  Državam članicam bi bilo treba dovoliti, da pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene pod določenimi pogoji in ob zagotovitvi ustreznih zaščitnih ukrepov za posameznike, na katere se nanašajo osebni podatki, določijo natančnejšo ureditev in odstopanja v zvezi z zahtevami po informacijah ter pravice do popravka, do izbrisa, do pozabe, do omejitve obdelave, do prenosljivosti podatkov in do ugovora.

  Zadevni pogoji in zaščitni ukrepi lahko zahtevajo posebne postopke za uresničevanje navedenih pravic posameznikov, na katere se nanašajo osebni podatki, če je to ustrezno glede na namene specifične obdelave, ter tehnične in organizacijske ukrepe, s katerimi bi čim bolj zmanjšali obdelavo osebnih podatkov zaradi spoštovanja načel sorazmernosti in potrebnosti.

  Pri obdelavi osebnih podatkov v znanstvene namene bi bilo treba upoštevati tudi drugo zadevno zakonodajo, denimo o kliničnem preskušanju.

(158) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v namene arhiviranja, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.

  Javni organi oziroma javna ali zasebna telesa, ki vodijo evidence v javnem interesu, bi morali biti službe, ki imajo v skladu s pravom Unije ali pravom držav članic pravno obveznost, da pridobijo, ohranijo, ocenijo, uredijo, opišejo, sporočajo, spodbujajo in razširjajo evidence, ki so trajnega pomena za splošen javni interes, ter zagotavljajo dostop do njih.

  Državam članicam bi bilo treba tudi dovoliti, da določijo, da se lahko osebni podatki nadalje obdelujejo v namene arhiviranja, da se na primer zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, genocidom, hudodelstvom zoper človečnost, zlasti holokavstom, ali vojnimi zločini.

(159) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v znanstveno-raziskovalne namene.

  Za namene te uredbe bi bilo treba obdelavo osebnih podatkov v znanstveno-raziskovalne namene razlagati široko, tako da vključuje tudi na primer tehnološki razvoj, predstavitvene dejavnosti, temeljne raziskave, uporabne raziskave in zasebno financirane raziskave.

  Poleg tega bi bilo treba upoštevati cilj Unije iz člena 179(1) PDEU glede oblikovanja evropskega raziskovalnega prostora.

  Znanstveno-raziskovalni nameni bi morali zajemati tudi študije, izvedene v javnem interesu na področju javnega zdravja.

  Da bi upoštevali posebnosti obdelave osebnih podatkov v znanstveno-raziskovalne namene, bi morali veljati posebni pogoji, zlasti v zvezi z objavo ali drugim razkritjem osebnih podatkov v okviru znanstveno-raziskovalnih namenov. Če so na podlagi rezultatov znanstvenih raziskav, zlasti na področju zdravja, potrebni nadaljnji ukrepi v interesu posameznika, na katerega se nanašajo osebni podatki, bi se v zvezi s takšnimi ukrepi morala uporabljati splošna pravila iz te uredbe.

(160) Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v zgodovinskoraziskovalne namene.

  To bi moralo zajemati tudi zgodovinske raziskave in raziskave v genealoške namene, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.

(162) Če se osebni podatki obdelujejo v statistične namene, bi se morala za to obdelavo uporabljati ta uredba.

  S pravom Unije ali pravom držav članic bi bilo treba v mejah te uredbe določiti statistično vsebino, nadzor dostopa, natančnejšo ureditev obdelave osebnih podatkov v statistične namene ter ustrezne ukrepe za varstvo pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in zagotovitev statistične zaupnosti. „Statistični nameni“ pomeni vsako dejanje zbiranja in obdelave osebnih podatkov, potrebno za statistične raziskave ali pripravo statističnih rezultatov.

  Ti statistični rezultati se lahko nadalje uporabijo v različne namene, tudi v znanstveno-raziskovalne namene. „Statistični namen“ pomeni, da rezultati obdelave v statistične namene niso osebni podatki, temveč zbirni podatki, ter da se ti rezultati ali osebni podatki ne uporabijo v podporo ukrepov ali odločitev v zvezi z določenim posameznikom.

(163) Zaupne informacije, ki jih statistični organi Unije in nacionalni statistični organi zberejo zaradi priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi.

  Evropsko statistiko bi bilo treba razvijati, pripravljati in razširjati v skladu s statističnimi načeli iz člena 338(2) PDEU, nacionalna statistika pa bi morala biti skladna tudi s pravom države članice.

  V Uredbi (ES) št. 223/2009 Evropskega parlamenta in Sveta (16) so določene nadaljnje natančnejše ureditve glede statistične zaupnosti evropske statistike.

(166) Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine posameznikov in zlasti njihova pravica do varstva osebnih podatkov ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte.

  Zlasti bi bilo treba sprejeti delegirane akte, kar zadeva merila in zahteve v zvezi z mehanizmi potrjevanja, informacijami, ki se navedejo v standardiziranih ikonah, in postopki za določitve takšnih ikon.

  Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov.

  Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da se zadevni dokumenti posredujejo Evropskemu parlamentu in Svetu sočasno, pravočasno in na ustrezen način.

(167) Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila, kadar je tako določeno v tej uredbi.

  Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011.

  V zvezi s tem bi morala Komisija razmisliti o posebnih ukrepih za mikro, mala in srednja podjetja.

(171) S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES.

  Obdelavo, ki se že izvaja na dan uporabe te uredbe, bi bilo treba uskladiti s to uredbo v roku dveh let po začetku veljavnosti te uredbe.

  Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.

  Odločitve, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in dovoljenja s strani nadzornih organov so veljavni, dokler se ne spremenijo, nadomestijo ali prekličejo.

(173) Ta uredba bi se morala uporabljati za vse zadeve, ki zadevajo varstvo temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES Evropskega parlamenta in Sveta (18), vključno z obveznostmi za upravljavca in pravicami posameznikov.

  Za pojasnitev povezave med to uredbo in Direktivo 2002/58/ES bi bilo treba navedeno direktivo ustrezno spremeniti.

  Ko bo ta uredba sprejeta, bi bilo treba pregledati Direktivo 2002/58/ES, zlasti da se zagotovi skladnost s to uredbo –