interactive GDPR 2016/0679 SL

1. Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2. V sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepe iz točk (b), (c) in (d) člena 33(3).

3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)	upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)	to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4. Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

Oddelek 3

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 36

Predhodno posvetovanje

1. Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

2. Kadar nadzorni organ meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, nadzorni organ v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler nadzorni organ ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3. Pri posvetovanju z nadzornim organom v skladu z odstavkom 1 upravljavec nadzornemu organu predloži:

(a)	kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

(b)	namene in sredstva predvidene obdelave;

(c)	ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)	kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)	oceno učinka v zvezi z varstvom podatkov iz člena 35 in

(f)	vsakršne druge informacije, ki jih zahteva nadzorni organ.

4. Države članice se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, posvetujejo z nadzornim organom.

5. Ne glede na odstavek 1 lahko pravo države članice od upravljavcev zahteva, naj se posvetujejo z nadzornim organom in od njega prejmejo predhodno dovoljenje v zvezi z obdelavo s strani upravljavca z namenom izvajanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo v zvezi s socialnim varstvom in javnim zdravjem.

Oddelek 4

Pooblaščena oseba za varstvo podatkov

Člen 37

Imenovanje pooblaščene osebe za varstvo podatkov

1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a)	obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c)	temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

2. Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

3. Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.

7. Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 70

Naloge odbora

1. Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:

(a)	spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

(b)	svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(c)	svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

(d)	izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

(e)	na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

(f)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(h)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varstva osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

(i)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

(j)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

(k)	pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

(l)	pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);

(m)	izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

(n)	spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

(o)	pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)	določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;

(q)	Komisiji predloži mnenje o zahtevah glede potrjevanja iz člena 43(8);

(r)	Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

(s)

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

(t)	izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

(u)	spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(v)	spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

(w)	spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(x)	izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

(y)	vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

2. Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3. Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4. Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.

whereas

(63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost.
To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi.
Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave.
Kadar je mogoče, bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov.
Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo.
To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij.
Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

- = -

(75) Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko in ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genetskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi, kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili, kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok; ali kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

- = -

(76) Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave.
Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

- = -

(77) Usmerjanje izvajanja ustreznih ukrepov in dokazovanja skladnosti s strani upravljavca ali obdelovalca, zlasti kar zadeva opredelitev tveganja, povezanega z obdelavo, njegovo oceno v smislu izvora, narave, verjetnosti in resnosti ter opredelitev najboljših praks za ublažitev tveganja, bi se lahko zagotovilo zlasti z odobrenimi kodeksi ravnanja, odobrenimi postopki potrjevanja, smernicami, ki bi jih zagotovil odbor, ali navodili pooblaščene osebe za varstvo podatkov.
Odbor lahko izda tudi smernice za dejanja obdelave, za katere ni verjetno, da bi povzročila veliko tveganje za pravice in svoboščine posameznikov, in navede, kateri ukrepi bi v takih primerih morda zadostovali za obravnavanje takega tveganja.

- = -

(84) Za povečanje skladnosti s to uredbo, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov, da bi ocenili predvsem izvor, naravo, posebnost in resnost tega tveganja.
Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu s to uredbo.
Kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z nadzornim organom.

- = -

(86) Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da bi se ta lahko ustrezno zavaroval.
Sporočilo bi moralo vsebovati opis narave kršitve varstva osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov.
Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti tako sporočilo, kakor hitro je to razumno mogoče in v tesnem sodelovanju z nadzornim organom ter ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi, kot so organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj.
Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo sporočilo posameznikom, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varnosti osebnih podatkov pa bi lahko upravičila daljši rok za sporočilo.

- = -

(89) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov.
Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov.
Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov.
Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

- = -

(91) To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic.
Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih.
Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu.
Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika.
V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

- = -

(94) Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z nadzornim organom.
Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar lahko povzroči tudi škodo za pravice in svoboščine posameznika ali poseg vanje.
Nadzorni organ bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju.
Vendar odsotnost odziva nadzornega organa v tem obdobju ne bi smela posegati v kakršno koli posredovanje tega organa v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave.
Rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, se lahko kot del tega postopka posvetovanja predloži nadzornemu organu, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

- = -

(135) Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi.
Ta mehanizem bi bilo treba uporabljati zlasti v primerih, ko namerava nadzorni organ sprejeti ukrep, katerega namen je doseči pravne učinke v zvezi z dejanji obdelave, ki bistveno vplivajo na veliko število posameznikov, na katere se nanašajo osebni podatki, v več državah članicah.
Uporabljati bi se moral tudi, kadar kateri koli zadevni nadzorni organ ali Komisija zahteva, naj se taka zadeva obravnava v mehanizmu za skladnost.
Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

- = -

dal 2004 diritto e informatica