interactive GDPR 2016/0679 SL

(b)	obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)	obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)	obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)	obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2. Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3. Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)	pravom Unije; ali

(b)	pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4. Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)	kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)	okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)	naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)	morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)	obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 24

Odgovornost upravljavca

1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3. Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)	sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)	obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)	obsežnega sistematičnega spremljanja javno dostopnega območja.

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7. Ocena zajema vsaj:

(a)	sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)	oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)	oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 47

Zavezujoča poslovna pravila

1. Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:

(a)	so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;

(b)	posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter

(c)	izpolnjujejo zahteve iz odstavka 2.

2. Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:

(a)	strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;

(b)	prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;

(c)	njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;

(g)	kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;

(h)

naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;

(i)	pritožbene postopke;

(j)

mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;

(k)	mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;

(l)	mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);

(m)	mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in

(n)	ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.

3. Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 61

Medsebojna pomoč

1. Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2. Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3. Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4. Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)	ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)	bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5. Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6. Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7. Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8. Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9. Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 88

Obdelava v okviru zaposlitve

1. Države članice lahko v zakonu ali kolektivnih pogodbah določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, varstva lastnine zaposlenih ali potrošnikov in za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

2. Ta pravila vključujejo ustrezne in posebne ukrepe za zaščito človeškega dostojanstva, zakonitih interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, s posebnim poudarkom na preglednosti obdelave, prenosu osebnih podatkov v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ter sistemih spremljanja na delovnem mestu.

3. Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme v skladu z odstavkom 1, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 89

Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

1. Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo podatki, se ti nameni uresničijo na ta način.

2. Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

3. Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18, 19, 20 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, če bi takšne pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4. Kadar vrsta obdelave iz odstavkov 2 in 3 hkrati izpolnjuje tudi drug namen, se dovoljena odstopanja uporabijo le za obdelavo v namene iz navedenih odstavkov.

Člen 96

Razmerje s predhodno sklenjenimi sporazumi

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 24. majem 2016 ter so skladni s pravom Unije, ki se je uporabljalo pred navedenim datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

whereas

(36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež.
Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev.
To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju.
Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež.
Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji.
V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi.
Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca.
Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.

- = -

(89) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov.
Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov.
Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov.
Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

- = -

(102) Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki.
Države članice lahko sklepajo mednarodne sporazume, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije, če taki sporazumi ne vplivajo na to uredbo ali katere koli druge določbe prava Unije in vključujejo ustrezno raven varstva temeljnih pravic posameznikov, na katere se nanašajo osebni podatki.

- = -

dal 2004 diritto e informatica