interactive GDPR 2016/0679 SL

1. Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2. Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3. Odobreni mehanizem potrjevanja v skladu s členom 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 32

Varnost obdelave

1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)	psevdonimizacijo in šifriranjem osebnih podatkov;

(b)	zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)	zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)	postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2. Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3. Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja zahtev iz odstavka 1 tega člena.

4. Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

Člen 34

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

1. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2. V sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepe iz točk (b), (c) in (d) člena 33(3).

3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)	upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)	to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4. Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

Oddelek 3

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 45

Prenosi na podlagi sklepa o ustreznosti

1. Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2. Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3. Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).

4. Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.

5. Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6. Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7. Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.

8. Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

9. Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.

Člen 52

Neodvisnost

1. Vsak nadzorni organ pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.

2. Član oziroma člani vsakega nadzornega organa pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo niso izpostavljeni niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.

3. Član ali člani vsakega nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4. Vsaka država članica zagotovi, da ima vsak nadzorni organi na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.

5. Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerjajo izključno član oziroma člani zadevnega nadzornega organa.

6. Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

Člen 58

Pooblastila

1. Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a)	da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)	da izvaja preiskave v obliki pregledov na področju varstva podatkov;

(c)	da izvaja preglede potrdil, izdanih v skladu s členom 42(7);

(d)	da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(e)	da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(f)	da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

2. Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

(a)	da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)	da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)	da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d)	da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(e)	da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(f)	da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(g)	da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(h)	da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;

(i)	da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

(j)	da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

3. Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)	da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

(b)	da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(c)	da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

(d)	da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

(e)	da pooblasti organe za potrjevanje v skladu s členom 43;

(f)	da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);

(g)	da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

(h)	da odobri pogodbena določila iz točke (a) člena 46(3);

(i)	da odobri upravne dogovore iz točke (b) člena 46(3);

(j)	da odobri zavezujoča poslovna pravila v skladu s členom 47.

4. Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5. Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6. Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.

Člen 61

Medsebojna pomoč

1. Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2. Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3. Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4. Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)	ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)	bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5. Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6. Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7. Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8. Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9. Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 70

Naloge odbora

1. Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:

(a)	spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

(b)	svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(c)	svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

(d)	izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

(e)	na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

(f)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(h)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varstva osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

(i)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

(j)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

(k)	pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

(l)	pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);

(m)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

(n)	spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

(o)	pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)	določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;

(q)	Komisiji predloži mnenje o zahtevah glede potrjevanja iz člena 43(8);

(r)	Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

(s)

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

(t)	izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

(u)	spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(v)	spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

(w)	spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(x)	izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

(y)	vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

2. Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3. Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4. Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.

Člen 82

Pravica do odškodnine in odgovornost

1. Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2. Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3. Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

4. Kadar so v isto obdelavo vključeni več kot en upravljavec ali obdelovalec ali sta vključena oba, upravljavec in obdelovalec in kadar so ti na podlagi odstavkov 2 in 3 odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo, da se zagotovi, da posameznik, na katerega se nanašajo osebni podatki, prejme učinkovito odškodnino.

5. Kadar je upravljavec ali obdelovalec v skladu z odstavkom 4 plačal celotno odškodnino za nastalo škodo, je ta upravljavec ali obdelovalec upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo v skladu s pogoji iz odstavka 2.

6. Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine so pristojna sodišča, ki so pristojna na podlagi prava države članice iz člena 79(2).

whereas

(11) Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.

- = -

(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic.
Za pravilno delovanje notranjega trga prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.
Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij ta uredba vsebuje odstopanja glede vodenja evidenc za organizacije, ki zaposlujejo manj kot 250 oseb.
Poleg tega se institucije in organe Unije ter države članice in njihove nadzorne organe spodbuja, da posebne potrebe mikro, malih in srednjih podjetij upoštevajo pri uporabi te uredbe.
Pojem mikro, malih in srednjih podjetij bi moral temeljiti na členu 2 Priloge k Priporočilu Komisije 2003/361/ES (5).

- = -

(22) Vsaka obdelava osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji.
Sedež pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev.
Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

- = -

(36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež.
Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev.
To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju.
Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež.
Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji.
V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi.
Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca.
Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.

- = -

(52) Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje.
Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva, ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.
Odstopanje bi prav tako moralo veljati za obdelavo takih osebnih podatkov, kadar je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v sodnem postopku ali v upravnem ali izvensodnem postopku.

- = -

(74) Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu.
Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov.
Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

- = -

(88) Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varstva osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe.
Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati zakoniti interes organov kazenskega pregona, kadar bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve varstva osebnih podatkov.

- = -

(119) Kadar država članica ustanovi več nadzornih organov, bi morala z zakonom vzpostaviti mehanizme za zagotavljanje učinkovite udeležbe teh nadzornih organov v mehanizmu za skladnost.
Za zagotovitev hitrega in neoviranega sodelovanja z drugimi nadzornimi organi, odborom in Komisijo bi morala ta država članica imenovati zlasti nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo teh organov v mehanizmu.

- = -

(120) Vsak nadzorni organ bi moral imeti finančne in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, tudi tistih, ki se nanašajo na medsebojno pomoč in sodelovanje z drugimi nadzornimi organi v Uniji.
Vsak nadzorni organ bi moral imeti ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

- = -

(127) Vsak nadzorni organ, ki ne deluje kot vodilni nadzorni organ, bi moral biti pristojen za obravnavanje lokalnih zadev, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, vsebina določene obdelave pa se nanaša le na obdelavo v eni državi članici in vključuje le posameznike, na katere se nanašajo osebni podatki, iz te države članice, na primer, kadar se vsebina nanaša na obdelavo osebnih podatkov o zaposlenih v okviru zaposlitve v posamezni državi članici.
V takih primerih bi moral nadzorni organ o tem brez odlašanja obvestiti vodilni nadzorni organ.
Vodilni nadzorni organ bi moral, potem ko je obveščen, odločiti, ali bo zadevo obravnaval v skladu z določbami o sodelovanju med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi (v nadaljnjem besedilu: mehanizem vse na enem mestu), oziroma ali bi moral zadevo na lokalni ravni obravnavati nadzorni organ, ki ga je o tem obvestil.
Vodilni nadzorni organ bi moral pri odločanju o tem, ali bo zadevo obravnaval, upoštevati, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, da bi zagotovili učinkovito izvrševanje odločitve do upravljavca ali obdelovalca.
Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, bi moral nadzorni organ, ki ga je o tem obvestil, imeti možnost predložiti osnutek odločitve, ki bi ga moral vodilni nadzorni organ v največji meri upoštevati pri pripravi svojega osnutka odločitve v okviru tega mehanizma vse na enem mestu.

- = -

(143) Katera koli fizična ali pravna oseba ima pravico, da pred Sodiščem pod pogoji iz člena 263 PDEU vloži ničnostno tožbo zoper odločitve odbora.
Zadevni nadzorni organi, ki želijo take odločitve izpodbijati, morajo kot njihovi naslovniki v skladu s členom 263 PDEU tožbo vložiti v dveh mesecih po tem, ko so bili o njih uradno obveščeni.
Kadar se odločitve odbora podatkov nanašajo neposredno in posamično na upravljavca, obdelovalca ali pritožnika, lahko ta vloži ničnostno tožbo zoper te odločitve, to pa mora v skladu s členom 263 PDEU storiti v dveh mesecih od objave teh odločitev na spletnem mestu odbora.
Brez poseganja v to pravico na podlagi člena 263 PDEU, bi morala imeti vsaka fizična ali pravna oseba na voljo učinkovito pravno sredstvo pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo.
Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, popravljalnih pooblastil in pooblastil v zvezi z dovoljenji ali na zavržene ali zavrnjene pritožbe.
Vendar pa pravica do učinkovitega pravnega sredstva ne zajema ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti.
Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi se morali v skladu s postopkovnim pravom te države članice.
Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

- = -

(146) Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo.
Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo.
Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe.
To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice.
Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe.
Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.
Kadar so upravljavci ali obdelovalci vključeni v isto obdelavo, bi moral biti vsak upravljavec ali obdelovalec odgovoren za celotno škodo.
Kadar pa so upravljavci ali obdelovalci združeni v isti sodni postopek v skladu s pravom države članice, se lahko odškodnina porazdeli v skladu z odgovornostjo vsakega upravljavca ali obdelovalca za škodo, ki je bila povzročena zaradi obdelave, če je zagotovljeno, da posameznik, na katerega se nanašajo osebni podatki in ki je škodo utrpel, prejme celotno in učinkovito odškodnino.
Vsak upravljavec ali obdelovalec, ki je plačal celotno odškodnino, lahko naknadno začne postopek za povrnitev stroškov zoper druge upravljavce ali obdelovalce, vključene v isto obdelavo.

- = -

(157) S povezovanjem informacij iz registrov lahko raziskovalci pridobijo dragoceno novo znanje glede zelo razširjenih bolezni, kot so bolezni srca in ožilja, rak in depresija.
Na podlagi registrov je mogoče pridobiti zanesljivejše rezultate raziskav, saj se z njimi zajame večje število ljudi.
Na področju družboslovja lahko z raziskavami na podlagi registrov raziskovalci pridobijo bistveno znanje o dolgoročni medsebojni povezanosti različnih družbenih dejavnikov, kot sta brezposelnost in izobraženost, z drugimi življenjskimi dejavniki.
Rezultati raziskav, pridobljeni prek registrov, zagotavljajo trdno, visokokakovostno znanje, ki je lahko podlaga za oblikovanje in izvajanje na znanju temelječe politike ter lahko izboljša kakovost življenja številnih ljudi in učinkovitost socialnih služb.
Zaradi omogočanja znanstvenih raziskav se lahko osebni podatki obdelujejo v znanstveno-raziskovalne namene v skladu z ustreznimi pogoji in zaščitnimi ukrepi, določenimi v pravu Unije ali pravu držav članic.

- = -

dal 2004 diritto e informatica