interactive GDPR 2016/0679 SL

whereas vsebino:

• whereas (81) 1
• whereas (162) 1

definitions:

Člen 41

Spremljanje odobrenih kodeksov ravnanja

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja organ, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen pooblastil pristojni nadzorni organ.

2.   Organ iz odstavka 1 se lahko pooblasti za spremljanje skladnosti s kodeksom ravnanja, kadar je ta organ:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazal neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)	vzpostavil postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)	vzpostavil postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)	pristojnemu nadzornemu organu zadovoljivo dokazal, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Pristojni nadzorni organ osnutek meril za pooblastitev organa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII organ iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5.   Pristojni nadzorni organ organu iz odstavka 1 pooblastilo prekliče, če pogoji za pooblastitev niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ, kršijo to uredbo.

6.   Ta člen se ne uporablja za obdelavo, ki jo izvajajo javni organi in telesa.

Člen 43

Organi za potrjevanje

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 potrdilo izda in podaljša organ za potrjevanje, ki ima ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer potem, ko obvesti nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ti organi za potrjevanje pooblaščeni s strani enega ali obeh od naslednjih:

(a)	nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)	nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (20) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2.   Organi za potrjevanje iz odstavka 1 se lahko v skladu z navedenim odstavkom pooblastijo le, kadar so:

(a)	pristojnemu nadzornemu organu zadovoljivo dokazali svojo neodvisnost in strokovno znanje v zvezi z vsebino potrjevanja;

(b)	se zavezali, da bodo izpolnjevali merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)	vzpostavili postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov;

(d)	vzpostavili postopke in strukture za obravnavanje pritožb zaradi kršitev potrjevanja ali načina, kako je potrjevanje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)	pristojnemu nadzornemu organu zadovoljivo dokazali, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Organi za potrjevanje iz odstavkov 1 in 2 tega člena se pooblastijo na podlagi meril, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru pooblastitve iz točke (c) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje.

4.   Organi za potrjevanje iz odstavka 1 so odgovorni za ustrezno ocenjevanje, ki privede do potrdila ali preklica takšnega potrdila, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Pooblastilo se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če organ za potrjevanje izpolnjuje zahteve, določene v tem členu.

5.   Organi za potrjevanje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega potrdila.

6.   Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru. Odbor zbira v registru vse mehanizme potrjevanja in pečate za varstvo podatkov ter jih objavi na kakršne koli ustrezne načine.

7.   Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče pooblastilo organu za potrjevanje na podlagi odstavka 1 tega člena, kadar pogoji za pooblastilo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ za potrjevanje, kršijo to uredbo.

8.   Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme potrjevanja za varstvo podatkov iz člena 42(1).

9.   Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

POGLAVJE V

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Člen 57

Naloge

1.   Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)	spremlja in zagotavlja uporabo te uredbe;

(b)	spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)	v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)	spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(e)	vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)	sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

(h)	izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(i)	spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(j)	sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

(k)	vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(l)	svetuje glede dejanj obdelave iz člena 36(2);

(m)	spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

(n)	spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila potrjevanja v skladu s členom 42(5);

(o)	kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)	oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)	opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(r)	odobri pogodbena določila in določbe iz člena 46(3);

(s)	odobri zavezujoča poslovna pravila v skladu s členom 47;

(t)	prispeva k dejavnostim odbora;

(u)	hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

(v)	opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

2.   Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 61

Medsebojna pomoč

1.   Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2.   Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3.   Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4.   Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)	ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)	bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5.   Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6.   Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7.   Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8.   Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9.   Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 81

Začasna ustavitev postopka

1.   Kadar ima pristojno sodišče države članice informacije, da na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, stopi v stik z zadevnim sodiščem v drugi državi članici, da potrdi obstoj takega postopka.

2.   Kadar na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, lahko katero koli pristojno sodišče, razen sodišča, pred katerim se je postopek najprej začel, začasno ustavi postopek.

3.   Kadar ti postopki tečejo na sodiščih prve stopnje, se lahko katero koli sodišče, razen sodišča, pred katerim se je postopek najprej začel, na zahtevo ene od strank prav tako izreče za nepristojno, če je sodišče, pred katerim se je postopek najprej začel, pristojno za odločanje v zadevnih postopkih in če nacionalno pravo dovoljuje združitev postopkov.

Člen 83

Splošni pogoji za naložitev upravnih glob

1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)	narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)	ali je kršitev naklepna ali posledica malomarnosti;

(c)	vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(d)	stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;

(e)	vse zadevne predhodne kršitve upravljavca ali obdelovalca;

(f)	stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(g)	vrste osebnih podatkov, ki jih zadeva kršitev,

(h)	kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;

(i)	kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;

(j)	zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom potrjevanja v skladu s členom 42, in

(k)	morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

(b)	obveznosti organa za potrjevanje v skladu s členoma 42 in 43;

(c)	obveznosti organa za spremljanje v skladu s členom 41(4).

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)	osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;

(b)	pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;

(c)	prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;

(d)	katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;

(e)	neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).

6.   V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7.   Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.

8.   Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

9.   Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.