interactive GDPR 2016/0679 SL

1. Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)	identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)	kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)	namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)	kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)	uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(f)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2. Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)	obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)	obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

(c)	kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)	pravico do vložitve pritožbe pri nadzornem organu;

(e)	ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

(f)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3. Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4. Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 15

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)	namene obdelave;

(b)	vrste zadevnih osebnih podatkov;

(c)	uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)	kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)	obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)	pravico do vložitve pritožbe pri nadzornem organu;

(g)	kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)	obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.

3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 3

Popravek in izbris

Člen 28

Obdelovalec

1. Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2. Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3. Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)	zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)	sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)	spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)	ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)	upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)	v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)	da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4. Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6. Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7. Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8. Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9. Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10. Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 30

Evidenca dejavnosti obdelave

1. Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

(a)	naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

(b)	namene obdelave;

(c)	opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d)	kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(e)	kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(f)	kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g)	kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

2. Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

(a)	naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;

(b)	vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)	kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(d)	kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

3. Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

4. Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.

5. Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Člen 44

Splošno načelo za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Člen 45

Prenosi na podlagi sklepa o ustreznosti

1. Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2. Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3. Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).

4. Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.

5. Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6. Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7. Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.

8. Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

9. Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.

Člen 46

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1. Kadar sklep v skladu s členom 45(3) ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje nadzornih organov, zagotovijo s:

(a)	pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)	zavezujočimi poslovnimi pravili v skladu s členom 47;

(c)	standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 93(2);

(d)	standardnimi določili o varstvu podatkov, ki jih sprejme nadzorni organ in odobri Komisija v skladu s postopkom pregleda iz člena 93(2);

(e)	odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali

(f)	odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3. Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem ustreznega nadzornega organa zagotovijo tudi zlasti s:

(a)	pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)	določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

4. Nadzorni organ v primerih iz odstavka 3 tega člena uporabi mehanizem za skladnost iz člena 63.

5. Dovoljenja države članice ali nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavna, dokler jih zadevni nadzorni organ ne spremeni, nadomesti ali razveljavi, če je to potrebno. Odločitve, ki jih je Komisija sprejela na podlagi člena 26(4) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi, če je to potrebno, z odločitvijo, sprejeto v skladu z odstavkom 2 tega člena.

Člen 48

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

Sodba sodišča in odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva prenos ali razkritje osebnih podatkov, se lahko prizna ali izvrši na kateri koli način le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico, brez poseganja v druge razloge za prenos na podlagi tega poglavja.

Člen 49

Odstopanja v posebnih primerih

1. Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)	posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)	prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)	prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)	prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)	prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)	prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g)

prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.

2. Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

3. Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.

4. Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.

5. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.

6. Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.

whereas

(103) Komisija lahko sklene – z učinkom za celotno Unijo –, da tretja država.
ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjo državo ali mednarodno organizacijo, za katero velja, da zagotavlja takšno raven varstva.
V takih primerih se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo opravijo brez potrebe po pridobitvi dodatnega dovoljenja.
Komisija lahko, potem ko tretjo državo ali mednarodno organizacijo obvesti in ji predloži celotno izjavo z navedbo razlogov, takšno odločitev tudi prekliče

- = -

(106) Komisija bi morala spremljati delovanje sklepov o ravni varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali mednarodni organizaciji, in spremljati delovanje odločitev, sprejetih na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES.
V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega delovanja.
Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter hkrati upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji.
Komisija bi morala za namene spremljanja in izvajanja rednih pregledov upoštevati stališča in ugotovitve Evropskega parlamenta in Sveta ter drugih ustreznih organov in virov.
Komisija bi morala v razumnem roku oceniti delovanje navedenih sklepov in o zadevnih ugotovitvah poročati odboru v smislu Uredbe (EU) št. 182/2001 Evropskega parlamenta in Sveta (12), kakor je ustanovljen s to uredbo, Evropskemu parlamentu in Svetu.

- = -

(107) Komisija lahko ugotovi, da tretja država, ozemlje ali določen sektor v tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva podatkov.
Posledično bi se moral prenos osebnih podatkov v to tretjo državo ali mednarodno organizacijo prepovedati, razen če so izpolnjene zahteve iz te uredbe v zvezi s prenosi ob upoštevanju ustreznih zaščitnih ukrepov, vključno z zavezujočimi poslovnimi pravili in odstopanji za posebne primere.
V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami.
Komisija bi morala tretjo državo ali mednarodno organizacijo pravočasno obvestiti o zadevnih razlogih in z njo začeti posvetovanja za izboljšanje stanja.

- = -

(112) Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, med finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu.
Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu držav članic zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo.
Države članice bi morale o takšnih določbah uradno obvestiti Komisijo.
Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

- = -

(115) Nekatere tretje države sprejemajo zakone, predpise in druge pravne akte, ki neposredno urejajo dejavnosti obdelave fizičnih in pravnih oseb v pristojnosti držav članic.
To lahko vključuje sodbe sodišč ali odločbe upravnih organov tretjih držav, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov, in ki ne temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico.
Zunajozemeljska uporaba teh zakonov, predpisov in drugih pravnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba.
Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države.
To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije ali pravom države članice, ki velja za upravljavca.

- = -

dal 2004 diritto e informatica